3,2 Millionen JBoss-Server anfällig für Ransomware-Attacken

Nach Angaben von Cisco Talos existiert eine Sicherheitslücke, die als Eintrittspunkt für den Verschlüsseler SamSam genutzt wird, in 3,2 Millionen JBoss-Anwendungsservern. Zudem haben die Forscher festgestellt, dass tausende solcher Server bereits mit einer passenden Backdoor ausgestattet sind.

Cisco zufolge ist die Situation in amerikanischen allgemeinbildenden K-12-Schulen (primärer und sekundärer Bildungsbereich, vom Kindergarten bis zur 12. Klasse) am schlimmsten, die die Software Destiny von Follett zur Verwaltung des Zugriffs auf die Ressourcen von Schulbibliotheken verwenden. Die Destiny-Software wird von 60.000 Schulen benutzt und Follett hat seine Kunden informiert, dass in einigen Servern eine Backdoor vorhanden ist, die die Durchführung von Cyberattacken ermöglicht. Follett hat bereits ein Patch veröffentlicht, das das Problem beseitigt.

Die Experten von Cisco, die an der Entwicklung des Patches beteiligt waren, weisen darauf hin, dass die Angreifer das spezialisierte Tool Jexboss benutzen, mit dem die JBoss-Server kompromittiert werden. Ein Exploit für die konkrete Schwachstelle ermöglicht Cyberkriminellen die Installation einer Webshell und die Installation von Backdoors, unter anderem mela, shellinvoker, jbossinvoker und jbot, wobei die Infektion immer und immer wieder erneuert wird. „Seit ein paar Tagen unterrichtet Talos alle Parteien, die ein Interesse daran haben, unter anderem Schulen, Regierungen, Flugzeugbauer usw.“, schreiben die Forscher in einem Blogeintrag.

JBoss ist eine Zwischenanwendung von Red Hat, die Unternehmenssoftware einschließt und verwendet wird, um Anwendungen, Daten und Geräte zu entwickeln und zu integrieren, und um Geschäftsprozesse zu automatisieren. Die Sicherheitslücke in JBoss, von der hier die Rede ist (CVE-2010-0738), wurde bereits vor mehr als fünf Jahren entdeckt, ein entsprechendes Patch wurde 2010 herausgegeben. Damals änderte JBoss den Namen in WildFly, doch viele Organisationen setzen nach wie vor auf die veralteten JBoss-Versionen (4.x und 5.x), da sie ihre Apps mit dieser Software entwickelt haben. „Es sieht derzeit so aus, als hinge die Sicherheitslücke mit ungepatchten Servern zusammen“, erklärte Red Hat in seinem Kommentar gegenüber Threatpost.

Was SamSam angeht, eine der neusten Ransomware-Spielarten, so ist die Schadsoftware ganz konkret auf die Ausnutzung von Sicherheitslücken in JBoss spezialisiert. Der größten Gefahr sind Bildungseinrichtungen ausgesetzt, deren Budget es normalerweise nicht zulässt, Server und Endgeräte adäquat zu schützen. Den Angaben der Experten zufolge befinden sich 30% der Schulen, die gegenüber diesen Attacken verwundbar sind, in den Vereinigten Staaten.

„Angesichts der Ernsthaftigkeit des Problems sollte ein kompromittierter Knoten umgehend deaktiviert werden, da Cyberkriminelle ihn zu verschiedenen Zwecken ausnutzen könnten“, schreiben die Forscher in einer Warnmitteilung. „Auf diesen Servern befindet sich JBoss, das vor kurzem in eine umfangreiche Erpressungskampagne verwickelt war.“

Die Forscher machen darauf aufmerksam, dass – auch wenn es derzeit die wahrscheinlichste Angriffsform ist – SamSam nicht die einzige Bedrohung ist. „Nachdem sie die Kontrolle über einen Server übernommen haben, können Angreifer alles tun, was ihnen in den Sinn kommt und sich beispielsweise auch andere Tools herunterladen“, warnt Cisco Talos. Ein kompromittierter Server kann auch für die Durchführung einer DDoS-Attacke oder zum Generieren von Bitcoins benutzt werden.

Bei Entdeckung der Backdoor empfehlen die Experten, den externen Zugriff auf den JBoss-Server zu sperren, ein neues Systemabbild zu erstellen und die neusten Softwareversionen zu installieren.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.