牛盾云安全牛盾云安全

新闻

新闻

新闻 / JBoss Java平台中存在后门,或可影响320万台服务器
管理员 管理员

JBoss Java平台中存在后门,或可影响320万台服务器

安全播报 - 2016-04-21
分享到:

近期,有一个非常活跃的勒索软件传播活动引起思科公司安全专家们的注意,由于JBoss Java应用程序平台中存在漏洞,导致攻击者有可能入侵企业的服务器,并且攻击者还可以向所有连接至企业服务器的客户端发送勒索软件。研究表明,大约有三百二十万台Web服务器目前仍然运行着旧版本的JBoss平台。


在安全扫描的过程中,安全研究人员发现了2100台已经被勒索软件感染了的服务器,其中受影响的IP地址数量约为1600个。对于这些已经被感染的服务器而言,它们的命运就是等待着攻击者的魔爪伸向它们,然后向这些服务器发送勒索软件的payload。


在对被入侵的服务器进行了简单的分析检测之后,思科公司则在其发表的研究报告中表示,这些服务器属于学校,政府,以及航空公司等公共服务部门。


起因:SamSam勒索软件的大肆扩散

SamSam勒索软件(也被称为Samas),该勒索软件于今年3月中旬被微软公司所发现。而在发现之时,FBI也对所有企业发出告警,关于该勒索软件可利用JBoss上的漏洞对企业的IT基础设备进行感染,提醒企业用户注意检测及防护。


随后,英特尔和思科,也双双发布报告和技术分析,剖析该勒索软件作者的实现思路,而这显然证实了微软公司和FBI此前发现的可靠性。据分析,SamSam勒索软件的操纵者正是利用公共机构和私营机构中,运行在服务器上的旧版本JBoss平台的漏洞来实现入侵的。


深入调查分析,发现更多被感染的服务器

在经过上述初步调查后,思科对JBoss平台漏洞的存在率进行了深入研究调查。


而从思科的研究表明,目前大约有320万Web服务器运行的是未更新的JBoss版本。利用获取到的部分利用后门后留下的文件,思科也可以扫描出这320万台服务器是否存在后门。


基于本次搜索,确认了2100台已经被入侵的服务器,这些服务器运行在1600个不同的IP上。一般来说,如果在没发现的情况下,这些服务器就只能等待勒索者传递勒索软件payload,对其实施感染了。


从被入侵的服务器的情况来看,这些服务器大部分属于学校、政府、航空公司等行业单位的。


其他后门也陆续被发现

除了文件被先前的SamSam勒索软件所感染时利用的后门,研究人员称他们还发现了其他“知名”的后门程序,如”mela,” “shellinvoker,” “jbossinvoker,” “zecmd,” “cmd,” “genesis,” “sh3ll” and possibly “Inovkermngrt” 以及“jbot”等。


新闻 / JBoss Java平台中存在后门,或可影响320万台服务器