News

3,2 Millionen JBoss-Server anfällig für Ransomware-Attacken

Nach Angaben von Cisco Talos existiert eine Sicherheitslücke, die als Eintrittspunkt für den Verschlüsseler SamSam genutzt wird, in 3,2 Millionen JBoss-Anwendungsservern. Zudem haben die Forscher festgestellt, dass tausende solcher Server bereits mit einer passenden Backdoor ausgestattet sind.

Cisco zufolge ist die Situation in amerikanischen allgemeinbildenden K-12-Schulen (primärer und sekundärer Bildungsbereich, vom Kindergarten bis zur 12. Klasse) am schlimmsten, die die Software Destiny von Follett zur Verwaltung des Zugriffs auf die Ressourcen von Schulbibliotheken verwenden. Die Destiny-Software wird von 60.000 Schulen benutzt und Follett hat seine Kunden informiert, dass in einigen Servern eine Backdoor vorhanden ist, die die Durchführung von Cyberattacken ermöglicht. Follett hat bereits ein Patch veröffentlicht, das das Problem beseitigt.

Die Experten von Cisco, die an der Entwicklung des Patches beteiligt waren, weisen darauf hin, dass die Angreifer das spezialisierte Tool Jexboss benutzen, mit dem die JBoss-Server kompromittiert werden. Ein Exploit für die konkrete Schwachstelle ermöglicht Cyberkriminellen die Installation einer Webshell und die Installation von Backdoors, unter anderem mela, shellinvoker, jbossinvoker und jbot, wobei die Infektion immer und immer wieder erneuert wird. „Seit ein paar Tagen unterrichtet Talos alle Parteien, die ein Interesse daran haben, unter anderem Schulen, Regierungen, Flugzeugbauer usw.“, schreiben die Forscher in einem Blogeintrag.

JBoss ist eine Zwischenanwendung von Red Hat, die Unternehmenssoftware einschließt und verwendet wird, um Anwendungen, Daten und Geräte zu entwickeln und zu integrieren, und um Geschäftsprozesse zu automatisieren. Die Sicherheitslücke in JBoss, von der hier die Rede ist (CVE-2010-0738), wurde bereits vor mehr als fünf Jahren entdeckt, ein entsprechendes Patch wurde 2010 herausgegeben. Damals änderte JBoss den Namen in WildFly, doch viele Organisationen setzen nach wie vor auf die veralteten JBoss-Versionen (4.x und 5.x), da sie ihre Apps mit dieser Software entwickelt haben. „Es sieht derzeit so aus, als hinge die Sicherheitslücke mit ungepatchten Servern zusammen“, erklärte Red Hat in seinem Kommentar gegenüber Threatpost.

Was SamSam angeht, eine der neusten Ransomware-Spielarten, so ist die Schadsoftware ganz konkret auf die Ausnutzung von Sicherheitslücken in JBoss spezialisiert. Der größten Gefahr sind Bildungseinrichtungen ausgesetzt, deren Budget es normalerweise nicht zulässt, Server und Endgeräte adäquat zu schützen. Den Angaben der Experten zufolge befinden sich 30% der Schulen, die gegenüber diesen Attacken verwundbar sind, in den Vereinigten Staaten.

„Angesichts der Ernsthaftigkeit des Problems sollte ein kompromittierter Knoten umgehend deaktiviert werden, da Cyberkriminelle ihn zu verschiedenen Zwecken ausnutzen könnten“, schreiben die Forscher in einer Warnmitteilung. „Auf diesen Servern befindet sich JBoss, das vor kurzem in eine umfangreiche Erpressungskampagne verwickelt war.“

Die Forscher machen darauf aufmerksam, dass – auch wenn es derzeit die wahrscheinlichste Angriffsform ist – SamSam nicht die einzige Bedrohung ist. „Nachdem sie die Kontrolle über einen Server übernommen haben, können Angreifer alles tun, was ihnen in den Sinn kommt und sich beispielsweise auch andere Tools herunterladen“, warnt Cisco Talos. Ein kompromittierter Server kann auch für die Durchführung einer DDoS-Attacke oder zum Generieren von Bitcoins benutzt werden.

Bei Entdeckung der Backdoor empfehlen die Experten, den externen Zugriff auf den JBoss-Server zu sperren, ein neues Systemabbild zu erstellen und die neusten Softwareversionen zu installieren.

Quelle: Threatpost

3,2 Millionen JBoss-Server anfällig für Ransomware-Attacken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach