近期,有一个非常活跃的勒索软件传播活动引起了思科公司安全专家们的注意,由于JBoss Java应用程序平台中存在漏洞,导致攻击者有可能入侵企业的服务器,并且攻击者还可以向所有连接至企业服务器的客户端发送勒索软件。
JBoss是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,而且不用支付任何的费用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般它可以与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这些所有的因素使得JBoss得到了广泛的使用。
早在今年的三月中旬,微软公司的安全研究人员就已经检测到了SamSam勒索软件(该勒索软件最早被命名为Samas)。随后,美国联邦调查局还向所有的企业和组织发送了有关这一新型安全威胁的警告通知,并告知他们JBoss应用程序平台中存在安全漏洞,攻击者或可利用这个漏洞来感染企业或组织的网络基础设施。
随后,英特尔公司和思科公司的安全部门均发表了有关此勒索软件的技术报告,并在报告中详细解释了这款勒索软件的运行机制。很明显,微软公司和美国联邦调查局当初所发现的线索成为了既定的事实,攻击者可以利用旧版本的JBoss平台中存在的漏洞来对公共组织和商业公司的网络服务器进行攻击。
据此,思科公司的安全研究专家继续进行了深入的调查和分析,并且发现了大量受该勒索软件感染的网络服务器。
在进行了初步的调查之后,思科公司决定对这个存在于JBoss平台中的漏洞进行更加深入地分析和研究,并且在大量托管着JBoss平台的服务器中发现了各种后门程序。
他们的研究结果表明,大约有三百二十万台Web服务器目前仍然运行着旧版本的JBoss平台。由于思科公司的安全研究人员已经掌握了一些有关此后门的信息,他们现在将对这三百二十多万台服务器进行安全扫描,并检测出服务器中所有非活动状态的后门程序。
而在此次安全扫描的过程中,安全研究人员发现了2100台已经被勒索软件感染了的服务器,其中受影响的IP地址数量约为1600个。对于这些已经被感染的服务器而言,它们的命运就是等待着攻击者的魔爪伸向它们,然后向这些服务器发送勒索软件的payload。
在对被入侵的服务器进行了简单的分析检测之后,思科公司则在其发表的研究报告中表示,这些服务器属于学校,政府,以及航空公司等公共服务部门。
除此之外,安全研究人员还在被感染的服务器中发现了其他的后门程序
除了关于SamSam勒索软件的感染文件之外,安全研究专家还表示,他们还发现了一些其他的后门程序,例如"mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll",以及"Inovkermngrt" 和 "jbot"。
而这些后门程序也足以证明, 不光是SamSam恶意软件的控制者知道有关JBoss的漏洞信息,其他的网络犯罪分子也会利用这个漏洞来对运行了JBoss平台的服务器进行攻击。
当思科公司的安全专家检测到了这些安全威胁之后,便开始通知所有受此漏洞影响的厂商了。由于受影响的服务器数量太多,现在急待处理的问题也非常的棘手。据了解,很多学校会将JBoss服务器作为图书馆管理系统(该系统名为“Destiny”,由一家名为Fellot的公司开发)的一个组件来使用,而这个漏洞也给学校的日常运作带来了不小的麻烦。
通常情况下,之所以会发生这样的事情,是由于这些科技公司缺乏一定的专业度,并且在开发相应软件的时候没有考虑到安全性的问题。而且大多数的公司在发生了这种事情之后,都会对此避而不谈。但是现在的情况却与此截然相反。
思科公司表示,Fellot有着令人印象深刻的漏洞修复系统,而且他们已经成功地修复了版本号介于9.0和13.5之间所有版本的软件漏洞,并且还帮助客户升级更新了JBoss平台,以此来保证用户的数据安全。除此之外,他们还成功地将受客户感染服务器中的后门程序移除了。
据了解,这个后门程序是基于一款开源的JBoss服务器测试工具开发出来的
在对这些获取到的文件进行了分析和研究之后,思科公司的安全专家们表示,他们能够对后门的代码进行追踪,并且最终定位到了一款名为‘JexBoss’的JBoss平台渗透测试工具,而这款工具可以在Github的开源代码库中直接获取到。
除此之外,在安全专家公布了他们的研究结果之后,US-CERT也发表了一份咨询建议,并建议所有Web服务器的管理人员对服务器进行一次安全检测。
就在昨天,IBM公司的安全技术人员还检测到了另一个黑客组织所进行的黑客活动,这些黑客使用了C99 PHP Webshell,并利用了旧版本WordPress插件中存在的漏洞来劫持目标服务器。