3,2 milioni di server JBoss vulnerabili agli attacchi ransomware

Secondo Cisco Talos, la vulnerabilità sfruttata come “entry point” per il cryptoblocker SamSam è presente in 3,2 milioni di server di applicazioni JBoss. Inoltre, i ricercatori hanno scoperto che migliaia di server di tal genere sono stati già infettati da temibili backdoor.

Cisco asserisce che la situazione peggiore si riscontra proprio negli istituti scolastici americani riservati all’istruzione di primo e secondo grado (i quali operano in base al programma denominato К-12, che si estende dalla scuola materna sino alla dodicesima classe) in cui viene fatto uso del software Destiny, pubblicato da Follett, preposto ad organizzare l’accesso alle risorse presenti nelle biblioteche scolastiche. Il sistema di gestione Destiny viene attualmente utilizzato in circa 60.000 scuole; nella circostanza, Follett ha comunicato ai propri clienti che in alcuni server risultano presenti delle backdoor, le quali consentono la conduzione di cyber-attacchi da parte di malintenzionati. Follett, tuttavia, ha già rilasciato l’apposita patch, in grado di eliminare il problema manifestatosi.

Gli esperti di Cisco, che hanno preso parte alla creazione di tale patch, segnalano che gli attacker si avvalgono di uno speciale strumento open source, denominato Jexboss, il quale agevola la compromissione dei server JBoss. Ci troviamo di fronte, in sostanza, ad un exploit tool vero e proprio, destinato a colpire una specifica vulnerabilità; questo strumento consente ai malintenzionati di poter installare sulla macchina sottoposta ad attacco tutta una serie di webshell e backdoor, tra cui mela, shellinvoker, jbossinvoker e jbot. In questa maniera, il processo di infezione potrà essere rinnovato, di volta in volta. “In questi ultimi giorni, Talos è impegnata ad avvertire le parti interessate riguardo a tale situazione; si tratta, nella fattispecie, di istituti scolastici, enti governativi, costruttori di aeromobili, e via dicendo”, – scrivono i ricercatori sul blog.

JBoss è, in pratica, un middleware, attualmente prodotto da Red Hat; esso include software di classe enterprise, utilizzato per creare ed integrare applicazioni, dati e dispositivi, così come per automatizzare i processi di business. La vulnerabilità in questione (CVE-2010-0738), individuata in JBoss, è stata scoperta più di cinque anni fa; la relativa patch è stata rilasciata nel 2010. JBoss, in seguito, ha cambiato il suo nome in WildFly; molte organizzazioni, tuttavia, si affidano tuttora alle versioni più datate di JBoss (4.x e 5.x), visto che le applicazioni sono state sviluppate proprio sulla base di queste ultime. “Al momento attuale, associamo le vulnerabilità alla specifica mancanza di patch sui server”, – ha dichiarato a Threatpost la società Red Hat, commentando quanto accaduto.

Cisco Talos afferma che il ransomware SamSam, una delle più recenti iterazioni dei temibili software estorsori, è deliberatamente focalizzato sullo sfruttamento delle vulnerabilità rilevate in JBoss. Risultano sottoposti ai rischi maggiori proprio gli istituti scolastici, il cui budget, di solito, non consente di proteggere in maniera adeguata i server e gli endpoint. Secondo i dati di cui dispongono gli esperti, circa il 30% delle scuole vulnerabili nei confronti di tali attacchi si trova sul territorio degli Stati Uniti.

“Data la gravità del problema, occorre disattivare immediatamente l’host compromesso, visto che i malintenzionati potrebbero servirsi di quest’ultimo per vari scopi malevoli, – scrivono i ricercatori nel bollettino informativo da essi pubblicato. – Su questi server si trova installato JBoss, da poco utilizzato nell’ambito di una campagna ransomware di vaste proporzioni”.

I ricercatori hanno ugualmente osservato che, sebbene al momento attuale la forma più probabile di attacco sia rappresentata da SamSam, tale ransomware non costituisce affatto l’unica minaccia esistente. “Una volta assunto il controllo del server, l’attacker può fare, in pratica, quello che più gli pare e piace, compreso caricare ulteriori strumenti nocivi”, – avverte Cisco Talos. Il server compromesso può anche essere utilizzato per condurre un attacco DDoS, oppure per generare bitcoin.

Se viene rilevata la presenza della backdoor, gli esperti raccomandano di bloccare l’accesso esterno al server JBoss, creare una nuova immagine del sistema ed installare le versioni più recenti del software.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *