遭JBoss漏洞破坏,23000台服务器“中招”

十月初,安全研究员Andrea MIcalizzi在多家厂商(包括惠普,McAfee,赛门铁克和IBM)使用4.X和5.X JBoss的产品中发现了一个漏洞并将之发布。黑客可以利用该漏洞(CNNVD-201309-198)在EJBInvokerServlet或JMXInvokerServlet的JBoss部署上安装一个任意应用。 Micalizzi利用该漏洞安装了一个名为pwn.jsp的Web Shell应用,该应用可通过HTTP请求在操作系统上执行Shell命令。可以通过OS的用户身份许可从而运行JBoss,而在一些JBoss部署案例中,甚至可以拥有较高的权限,如管理员。 来自安全公司Imperva的研究员最近检测到针对JBoss服务器的攻击有所增加,这些攻击利用Micalizzi所说的漏洞安装了原始的pwn.jsp shell,不仅如此还有更复杂的名为JspSpy的 Web Shell。在JBoss服务器上运行的200多个站点,包括那些隶属于政府和大学的站点,都被这些Web Shell应用入侵和感染。 实际情况更为严重,因为Micalizzi所说的漏洞源自不安全的默认配置,这些配置使得JBoss管理界面和调用程序暴露在未经验证的攻击之下,这一问题已经存在多年了。 2011年,在一份关于JBoss因安装不当被黑的报告中,Matasano Security的安全研究员在谷歌搜索的基础上估计约有7300台有潜在漏洞服务器。 据Shteiman透露,管理界面暴露到互联网的JBoss数量翻了三倍,达到了23000。这种增长的原因之一或许是人们完全了解与此问题相关的风险,不过却一直以不安全的方式部署安装JBoss。而且,有些厂商推出产品的时候,本身就使用了不安全的JBoss配置,如不能抵挡Micalizzi漏洞利用的产品。 存在CNNVD-201309-198漏洞的产品包括McAfee Web Reporter 5.2.1,惠普ProCurve Manager3.20和4.0,惠普PCM+ 3.20和4.0,惠普 Identity Driven Manager 4.0,Symantec Workspace Streaming 7.5.0.493和IBMTRIRiGA。 还未发现有其他厂商的产品上有此漏洞。 JBoss由RedHat开发,最近更名为WildFly。最新的版本是7.1.1,不过据Shteiman透露,许多企业因兼容性的问题而仍使用JBoss 4.X和5.X版本,因为他们要运行的应用是为旧版的JBoss而研发。这些企业应该到JBoss社区网站查询确保JBoss的安全安装。 IBM也对此漏洞做出响应,提供了安全安装JMX Console和EJBInvoker的信息。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-11-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏违法举报

有人利用服务器做违法生意

举报域名www.idaikan.com,经过查询,此域名ip119.28.49.236属于腾讯云

3.3K00
来自专栏恰童鞋骚年

Spring Boot 1.5.x 基础学习示例

  今年从原来.Net Team“被”转到了Java Team开始了微服务开发的工作,接触了Spring Boot这个新瓶装旧酒的技术,也初步了解了微服务架构。...

10030
来自专栏大数据

Spring 数据处理框架的演变

定量分析的成败在很大程度上取决于采集,存储和处理数据的能力。若能及时地向业务决策者提供深刻并可靠的数据解读,大数据项目就会有更多机会取得成功。

65360
来自专栏云原生架构实践

JHipster技术简介

JHipster是一个开发平台,用于生成,开发,部署Spring Boot + Angular/React Web Application和Spring mic...

6.6K90
来自专栏数据和云

自相矛盾:一个进程可以自成死锁么?

崔华,网名 dbsnake Oracle ACE Director,ACOUG 核心专家 编辑手记:感谢崔华授权我们独家转载其精品文章,也欢迎大家向“Oracl...

36240
来自专栏企鹅号快讯

成为Java高手的25个学习要点

. 很多人会问学java不知道该如何入手? 不知道学习的方向该怎么办? 有没有什么学习方法可以推荐? 想成为java高手,有没有一些可以衡量的标准呢? 本文就为...

22290
来自专栏dalaoyang

熔断器---Hystrix

Hystrix:熔断器,容错管理工具,旨在通过熔断机制控制服务和第三方库的节点,从而对延迟和故障提供更强大的容错能力。 说到熔断器,先要引入另外一个词,雪崩效应...

30260
来自专栏大魏分享(微信公众号:david-share)

实战:构建一个车险业务的规则引擎(上篇)

35230
来自专栏Java技术分享圈

Spring - SpringBoot入门之环境搭建

资深Java培训师分享IT行业经验,用自己的见解去一个博客,希望对你们有一分帮助:

11820
来自专栏java达人

Spring Boot指南

欢迎投稿 erixhao作品 Spring Boot是由Pivotal公司(Spring目前隶属于Pivotal)于2014发布的一个框架,如上图官网所示...

32660

扫码关注云+社区

领取腾讯云代金券