Infos

3,2 millions de serveurs JBoss vulnérables aux attaques de ransomwares

Selon les informations de Cisco Talos, la vulnérabilité exploitée par le ransomware SamSam figure dans 3,2 millions de serveurs d’applications JBoss. De plus, les chercheurs ont découvert que des milliers de ces serveurs sont déjà infectés par une backdoor pratique.

D’après Cisco, la situation la plus grave se situe dans les écoles d’enseignement général aux Etats-Unis qui suivent le programme K-12 (éducation du CP jusqu’à la terminale) et qui utilisent l’application Destiny de l’éditeur Follett. Cette application permet d’organiser l’accès aux ressources des bibliothèques des écoles. Le système d’administration Destiny est utilisé dans 60 000 écoles et Follett a signalé à ses clients qu’il existe une backdoor sur certains serveurs qui permettrait d’organiser des cyberattaques. Follett a déjà diffusé le correctif qui élimine ce problème.

Les experts de Cisco, qui ont été impliqués dans la préparation du correctif, signalent que les attaquants utilisent l’outil spécial Jexboss pour compromettre les serveur JBoss. L’exploitation de cette vulnérabilité en particulier permet aux individus malintentionnés d’installer un shell Web et des backdoors dont mela, shellinvoker, jobssinvoker et jbot. Qui plus est, l’infection est reproduite sans cesse. « Cela fait quelques jours que Talos s’occupe de prévenir les parties concernées dont des écoles, des institutions gouvernementales, des constructeurs aériens, etc. » ont écrit les chercheurs dans le blog.

JBoss est une application de niveau intermédiaire proposée actuellement par Red Hat ; elle intègre un logiciel de niveau entreprise pour la création et l’intégration des applications, des données et des périphériques ainsi que pour l’automatisation des processus métier. La vulnérabilité dont il est question dans JBoss (CVE-2010-0738) a été découverte il y a plus de cinq ans ; le correctif a quant à lui été publié en 2010. Au cours de la période écoulée, JBoss est devenu WildFly, toutefois de nombreuses organisations comptent toujours sur des versions dépassées de JBoss (4.x et 5.x) car les applications ont été créées à l’aide de ses versions. « Pour l’instant, nous associons la vulnérabilité à l’absence de correctifs sur les serveurs » a déclaré Red Hat dans une communication adressée à Threatpost.

S’agissant de SamSam, une des versions les plus récentes de ransomware, il cherche précisément à exploiter les vulnérabilités dans JBoss estime Cisco Talos. Les écoles sont les plus exposées car leur budget ne leur permet pas en général de garantir la sécurité des serveurs et des périphériques. D’après les données des experts, près de 30 % des écoles vulnérables à ces attaques se situent sur le territoire des Etats-Unis.

« Compte tenu de la gravité du problème, le nœud compromis doit être déconnecté sur le champ car les individus malintentionnés pourraient l’utiliser à des fins diverses » écrivent les chercheurs dans un bulletin d’informations. « Ces serveurs sont dotés de JBoss qui a été utilisé récemment dans une campagne de ransomware de grande envergure. »

Toujours d’après les chercheurs, si SamSam demeure pour l’instant la forme d’attaque la plus probable, elle ne constitue pas la seule menace. « Une fois que l’attaquant a pris les commandes du serveur, il peut réaliser toutes les opérations qui lui conviennent, notamment charger d’autres outils » avertit Cisco Talos. Tout serveur compromis peut également être utilisé dans l’organisation d’attaques DDoS ou pour obtenir des bitcoins.

En cas de découverte d’une backdoor, les experts conseillent de bloquer l’accès extérieur au serveur JBoss, de créer une image du système et d’installer les versions les plus récentes des applications.

Fonte: Threatpost

3,2 millions de serveurs JBoss vulnérables aux attaques de ransomwares

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception