目前多達(dá)320萬計(jì)算機(jī)運(yùn)行著未打補(bǔ)丁版本的JBoss中間件軟件，這意味著這些計(jì)算機(jī)很容易被用于傳播SamSam和其他勒索軟件，這也突出了一直存在的未打補(bǔ)丁系統(tǒng)的風(fēng)險(xiǎn)問題。在掃描包含JBoss漏洞的受感染機(jī)器后，思科Talos發(fā)現(xiàn)超過2100個(gè)后門程序被安裝在關(guān)聯(lián)近1600個(gè)IP地址的系統(tǒng)中。

Talos報(bào)告稱，未打補(bǔ)丁的JBoss正在被一個(gè)或多個(gè)webshell利用，webshell是可上傳到Web服務(wù)器并對該服務(wù)器進(jìn)行遠(yuǎn)程管理的腳本。該報(bào)告表明，企業(yè)需要對修復(fù)生產(chǎn)軟件非常警惕。

“在這個(gè)過程中，我們了解到在受影響的JBoss服務(wù)器中通常有不只一個(gè)webshell，”Talos威脅研究人員Alexander Chiu寫道，“我們看到很多不同的后門程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。這意味著很多這些系統(tǒng)已經(jīng)由不同的攻擊者進(jìn)行多次攻擊。”

其中受影響的企業(yè)包括學(xué)校、政府和航空企業(yè)等，有些受影響系統(tǒng)在運(yùn)行Follett Destiny（這是追蹤學(xué)校圖書館資產(chǎn)的管理系統(tǒng)，被用在全球各地的K-12學(xué)校）。Follett已經(jīng)確定了這個(gè)問題，并發(fā)布了JBoss漏洞的修復(fù)程序，并且還與Talos合作來分析攻擊者使用的webshell。

“Webshell是重大的安全問題，因?yàn)樗砻鞴粽咭讶还袅嗽摲?wù)器，并可遠(yuǎn)程控制它，”Chiu寫道，“并且，受影響的Web服務(wù)器可能被攻擊者利用，以在內(nèi)部網(wǎng)絡(luò)橫向移動。”

Talos建議企業(yè)盡快修復(fù)受影響的設(shè)備，首先應(yīng)該移除對外部網(wǎng)絡(luò)的訪問以防止攻擊者訪問該系統(tǒng)，然后重新鏡像該系統(tǒng)或者從備份中恢復(fù)，接著升級軟件版本，再重新應(yīng)用到生產(chǎn)環(huán)節(jié)。

根據(jù)Talos表示，最重要的是確保軟件補(bǔ)丁及時(shí)更新。“攻擊者在選擇攻擊目標(biāo)時(shí)并不會排除舊系統(tǒng)，因?yàn)檫@可以幫助他們賺錢，”Cylance公司安全研究人員Derek Soeder表示，“特別是對于不加選擇的攻擊者，即便易受攻擊的系統(tǒng)只有小部分暴露在互聯(lián)網(wǎng)中，也值得他們發(fā)動攻擊。”

根據(jù)威脅管理公司PhishMe研究人員Sean Wilson表示，Web框架特別容易受到攻擊。

“我們已經(jīng)看到攻擊者使用webshell很長一段時(shí)間，通常瞄準(zhǔn)WordPress和Joomla等Web框架，因?yàn)檫@些已經(jīng)得到個(gè)人用戶的廣泛部署和使用，”Wilson表示，“它們有成熟的插件生態(tài)系統(tǒng)，可包含基本框架進(jìn)行部署，也許不太容易受攻擊，不過多個(gè)過期的插件就可能包含可被攻擊者利用的漏洞。”

JexBoss webshell工具以及舊的JBoss漏洞

受影響的服務(wù)器中發(fā)現(xiàn)的webshell是JexBoss，這是用于測試和利用JBoss應(yīng)用服務(wù)器中漏洞的開源工具。JexBoss可在GitHub找到，并具有滲透測試和審計(jì)等合法用途。Talos報(bào)告稱，JexBoss被用于傳播SamSam勒索軟件變體。傳統(tǒng)的勒索軟件攻擊是通過網(wǎng)絡(luò)釣魚或漏洞利用工具包來傳播，而SamSam則是在服務(wù)器上獲得立足點(diǎn)，然后在受害網(wǎng)絡(luò)中橫向傳播。

JBoss是由Red Hat Software發(fā)布的中間件，JBoss的漏洞在2010年被發(fā)現(xiàn)并修復(fù)，被命名為CVE-2010-0738。Talos報(bào)告稱這個(gè)漏洞仍然在被用于傳播SamSam勒索軟件。

專家們一致認(rèn)為，大量易受攻擊的系統(tǒng)表明企業(yè)需要定期修復(fù)已安裝的軟件。

“這些補(bǔ)丁于多年前發(fā)布，但I(xiàn)T專業(yè)人員和個(gè)人通常沒有及時(shí)安裝安全補(bǔ)丁，”數(shù)據(jù)保護(hù)公司Carbonite公司首席傳播者Norman Guadagno表示，“在這種情況下，攻擊者發(fā)現(xiàn)攻擊教育IT系統(tǒng)的機(jī)會，但正如我們所看到的，這并不分行業(yè)。這也再次提醒我們?yōu)槭裁碔T管理員需要重新審視其安全狀態(tài)和政策。”

處理補(bǔ)丁問題

端點(diǎn)安全初創(chuàng)公司Barkly Protect首席執(zhí)行官Jack Danahy表示：“補(bǔ)丁管理和保持系統(tǒng)更新并不容易。系統(tǒng)和應(yīng)用之間存在復(fù)雜的依存關(guān)系，這讓更新決策變得很困難。”JBoss漏洞讓攻擊者可攻擊學(xué)校，但需要更新的應(yīng)用是Follett的Destiny圖書館管理系統(tǒng)。如果系統(tǒng)管理員沒有意識到Destiny依賴于JBoss，JBoss漏洞的存在可能不會讓他們意識到更新其圖書館管理系統(tǒng)的緊迫性。

在這里，修復(fù)可能是關(guān)鍵，但對于資源有限的企業(yè)來說，這并不總是容易的事情。“資源匱乏的企業(yè)在規(guī)劃項(xiàng)目成本時(shí)應(yīng)該考慮一些未來的修復(fù)成本，”CASB網(wǎng)絡(luò)安全研究主管Yishai Beeri表示，“定期修復(fù)可緩解很多長期存在的漏洞利用，最起碼，應(yīng)該優(yōu)先修復(fù)面向公眾的系統(tǒng)。”

“隨著時(shí)間的推移，易受攻擊系統(tǒng)的數(shù)量會越來越多，”Soeder說道，“有時(shí)候是由于疏忽，通常企業(yè)并不知道他們正在運(yùn)行的所有系統(tǒng)，這有可能因?yàn)橐资芄舻能浖磺度氲搅硪粋€(gè)產(chǎn)品中去。”Soeder解釋說，軟件未及時(shí)修復(fù)還有很多其他原因，包括系統(tǒng)管理員沒有意識到他們運(yùn)行的軟件包含漏洞或者他們并沒有從供應(yīng)商處獲得更新。

在一些情況下，管理員沒有足夠的資源來部署補(bǔ)丁，或者他們試圖修復(fù)補(bǔ)丁時(shí)，補(bǔ)丁并未生效；“有時(shí)候這就像在修復(fù)后忘記重啟，”Soeder稱，“攻擊者是機(jī)會主義者，而這些疏忽都是他們的機(jī)會。”