重点关注
漏洞公告
恶意代码
关于JBoss网站蠕虫大规模爆发的情况通报
国家互联网应急中心(简称CNCERT)近期监测发现一种新型网站蠕虫,该蠕虫会利用web应用服务JBoss的权限绕过漏洞对网站进行攻击,攻击成功后会感染网站服务器并在网站上留下后门文件,同时被感染网站会继续利用该漏洞攻击其他网站。该蠕虫传播速度快,影响范围广,是近年来继“红色代码”、“SQL蠕虫王”之后又一次大规模爆发的网站蠕虫。受蠕虫影响的目标系统包括很多政府和重要信息系统部门、教育机构以及行业企业网站,对网站用户信息安全和业务运行安全构成严重的威胁。现将具体情况通报如下:
一、情况分析
JBoss网站蠕虫主要攻击存在“JBoss企业应用平台JMX控制台安全绕过漏洞”(编号:CNVD-2010-00821)的网站服务器。早在2010年4月,该漏洞就由CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录,很快互联网上就出现了针对该漏洞的攻击代码,针对该漏洞的蠕虫程序也随即出现。
JBoss网站蠕虫利用该漏洞通过服务器开放的JMXInvokeServlet服务,在网站服务器上植入.JSP类型的网站后门文件以及相关恶意程序,常见后门文件有:zecmd.jsp、idssvc.jsp、iesvc.jsp、wstats.jsp、invoker.jsp。同时,JBoss网站蠕虫还会自动扫描其它使用JBoss的网站服务器,若发现网站服务器存在该漏洞,则对之继续进行攻击从而传播自身。利用这种自动传播的功能,大量受感染的网站还能够形成一个受到黑客远程集中控制的僵尸网络。由于受感染的主机都是网站服务器,而并非普通的用户个人计算机,所以JBoss网站蠕虫危害更为严重。
二、影响范围
根据CNCERT抽样监测结果,2012年8月1日至9月24日,互联网上被JBoss网站蠕虫攻击的网站有25321个,其中境内网站占20.1%。攻击成功并被植入后门的网站有4701个,其中境内网站占33.6%,当中不乏一些政府和重要信息系统部门网站。
同时,JBoss网站蠕虫所利用的漏洞影响范围也十分广泛,受影响的JBoss应用软件版本包括:JBoss Application Server (AS)4.0.x、JBoss Communicaions Platform 1.2、JBoss Enterprise ApplicationPlatform(EAP)4.2,4.3,5.0、JBoss Enterprise Portal Platform(EPP) 4.3、JBoss Enterprise Web Platform(EWP)5.0、JBoss SOA-Platform(SOA-P)4.2,4.3,5.0。
三、处置建议
Linux操作系统厂商Redhat在2010年4月底提供了修复措施,但仍有不少网站未进行修复。
建议修复措施如下:
(一)建议各单位根据后门文件特征对网站服务器是否已被入侵进行排查,如发现遭受攻击,应及时清除后门文件和恶意程序。同时,参考厂商提供的修复措施,及时加固。
(二)加强Jboss应用服务器的安全防范,应禁止外部无关IP或用户访问JMX-console控制台并严格限制Jboss JMXInvokerServlet的访问权限,相关操作通过更改web.xml、jboss-web.xml等配置文件开启身份验证选项完成。
CNCERT将紧密关注该网站蠕虫的传播和感染情况。各单位如有进一步信息,请与CNCERT联系。联系方式:010-82991000 cncert@cert.org.cn。
附参考链接:
http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=26948
https://rhn.redhat.com/errata/RHSA-2010-0376.html
https://rhn.redhat.com/errata/RHSA-2010-0377.html
https://rhn.redhat.com/errata/RHSA-2010-0378.html
https://rhn.redhat.com/errata/RHSA-2010-0379.html
