3,2 millions de serveurs JBoss vulnérables aux attaques de ransomwares

Selon les informations de Cisco Talos, la vulnérabilité exploitée par le ransomware SamSam figure dans 3,2 millions de serveurs d’applications JBoss. De plus, les chercheurs ont découvert que des milliers de ces serveurs sont déjà infectés par une backdoor pratique.

D’après Cisco, la situation la plus grave se situe dans les écoles d’enseignement général aux Etats-Unis qui suivent le programme K-12 (éducation du CP jusqu’à la terminale) et qui utilisent l’application Destiny de l’éditeur Follett. Cette application permet d’organiser l’accès aux ressources des bibliothèques des écoles. Le système d’administration Destiny est utilisé dans 60 000 écoles et Follett a signalé à ses clients qu’il existe une backdoor sur certains serveurs qui permettrait d’organiser des cyberattaques. Follett a déjà diffusé le correctif qui élimine ce problème.

Les experts de Cisco, qui ont été impliqués dans la préparation du correctif, signalent que les attaquants utilisent l’outil spécial Jexboss pour compromettre les serveur JBoss. L’exploitation de cette vulnérabilité en particulier permet aux individus malintentionnés d’installer un shell Web et des backdoors dont mela, shellinvoker, jobssinvoker et jbot. Qui plus est, l’infection est reproduite sans cesse. « Cela fait quelques jours que Talos s’occupe de prévenir les parties concernées dont des écoles, des institutions gouvernementales, des constructeurs aériens, etc. » ont écrit les chercheurs dans le blog.

JBoss est une application de niveau intermédiaire proposée actuellement par Red Hat ; elle intègre un logiciel de niveau entreprise pour la création et l’intégration des applications, des données et des périphériques ainsi que pour l’automatisation des processus métier. La vulnérabilité dont il est question dans JBoss (CVE-2010-0738) a été découverte il y a plus de cinq ans ; le correctif a quant à lui été publié en 2010. Au cours de la période écoulée, JBoss est devenu WildFly, toutefois de nombreuses organisations comptent toujours sur des versions dépassées de JBoss (4.x et 5.x) car les applications ont été créées à l’aide de ses versions. « Pour l’instant, nous associons la vulnérabilité à l’absence de correctifs sur les serveurs » a déclaré Red Hat dans une communication adressée à Threatpost.

S’agissant de SamSam, une des versions les plus récentes de ransomware, il cherche précisément à exploiter les vulnérabilités dans JBoss estime Cisco Talos. Les écoles sont les plus exposées car leur budget ne leur permet pas en général de garantir la sécurité des serveurs et des périphériques. D’après les données des experts, près de 30 % des écoles vulnérables à ces attaques se situent sur le territoire des Etats-Unis.

« Compte tenu de la gravité du problème, le nœud compromis doit être déconnecté sur le champ car les individus malintentionnés pourraient l’utiliser à des fins diverses » écrivent les chercheurs dans un bulletin d’informations. « Ces serveurs sont dotés de JBoss qui a été utilisé récemment dans une campagne de ransomware de grande envergure. »

Toujours d’après les chercheurs, si SamSam demeure pour l’instant la forme d’attaque la plus probable, elle ne constitue pas la seule menace. « Une fois que l’attaquant a pris les commandes du serveur, il peut réaliser toutes les opérations qui lui conviennent, notamment charger d’autres outils » avertit Cisco Talos. Tout serveur compromis peut également être utilisé dans l’organisation d’attaques DDoS ou pour obtenir des bitcoins.

En cas de découverte d’une backdoor, les experts conseillent de bloquer l’accès extérieur au serveur JBoss, de créer une image du système et d’installer les versions les plus récentes des applications.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *