image

JBoss-worm infecteert ongepatchte servers

vrijdag 21 oktober 2011, 14:29 door Redactie, 2 reacties

Red Hat waarschuwt systeembeheerders voor een worm die op dit moment onbeveiligde JBoss Application Servers en hierop gebaseerde producten infecteert. De worm maakt verbinding met de onbeveiligde JMX console en gebruikt vervolgens de mogelijkheid van de JMX console om willekeurige code in de context van de JBoss-gebruiker uit te voeren. JBoss is een op Java-gebaseerde open source applicatieserver.

Op Pastebin verscheen een analyse van de worm. Die zou op besmette servers verschillende Perl Scripts installeren die verbinding met een IRC-server maken en de server aan een botnet toevoegen.

Update
Volgens Red Hat Security Response directeur Mark Cox treft de worm alleen JBoss Application Servers waarvan de JMX console niet goed is beveiligd, alsmede gebruikers van ongepatchte versies van JBoss enterprise producten.

Een patch voor het misbruikte lek is al sinds april 2010 beschikbaar. In de Red Hat blogposting staan ook tips om de worm te verwijderen.

Reacties (2)
21-10-2011, 14:55 door wim-bart
Ik dacht dat dit zo langzamerhand was dichtgezet. Meer dan een jaar geleden (maart 2010) dit probleem al bij Pink Roccade gemeld welke software op basis van JBoss verkoopt. Daar kwamen we er achter dat alle implementaties open stonden. Zelf hebben we dit toen gefixed, maar toch jammer dat er bedrijven zijn die dit niet hebben opgelost.
21-10-2011, 21:41 door spatieman
oei.
de overheid verbied dadelijk gewoon IRC omdat ze te stom zijn om te begrijpen dat het toch niet helpt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.