BT

ワームによりパッチされていないJBossサーバーがボットネットに変換される

| 作者: Charles Humble フォローする 931 人のフォロワー , 翻訳者 福田 寅成 フォローする 0 人のフォロワー 投稿日 2011年11月1日. 推定読書時間: 2 分 |

原文(投稿日:2011/10/28)へのリンク

2010年4月にパッチがあてられたJBossの脆弱性を突破する新しいワームはセキャアではないサーバーをターゲットにしており、それらをボットネットに追加しているとセキュリティ研究者がレポートしている。ワームは以前のJBossバージョン(4と5)に影響があり、バージョン6と7には影響はない。SANS Technology InstituteのJohannes Ullrich氏はJBossのより古い設定ではGETとPOSTリクエストのみで認証しており、他のHTTPリクエストタイプやインターフェースを保護しておらず、そのため攻撃者は認証無しに任意のコードを実行するために他のメソッドを利用する事が可能であると述べている

Red Hat security responseのディレクターであるMark Cox氏はブログで以下のように述べている。

ワームは保護されていないJMXコンソールに接続する事により伝播し、JBossユーザとして任意のコードを実行するために任意のJMXコンソールを利用します。

意図的にセキュアで無いJBossサーバーにハニーポットを仕掛けたあるユーザーが報告している

ペイロードは障害のあるホストをIRCサーバーに自動的に接続して、ボットネットの一部になるようにするPerlスクリプトが含まれており、DynDNS(Flu.pl)を用いてリモートアクセスツールをインストールし、実行しています。また、2つのWindowsバッチスクリプトも含まれており、一つはJBoss Servicesを探索するためのスクリプト(wstools.bat)であり、 もう一つはあるmcast addressJGroups上のすべてのUDPベースのメンバーを探索するための「JGroups Cluster Discovery Script for Win32」と呼ばれるスクリプト(probe.bat)です。また、JMXコンソールを起動するのを助けるPerlスクリプト(Linda.pl)も含まれています。

そのワームは少なくとも数日の間広がっており、何台のサーバーが影響を受け、どれが感染源であるかは今の所明らかになっていない。少なくとも、ユーザがサーバーとPC両方のシステムを最新にし続ける必要性があることが改めて浮かび上がってきた。問題を解決する更新はここからダウンロードできる。JMXコンソールを保護する方法はここで確認する事が出来る。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT