目前多达320万计算机运行着未打补丁版本的JBoss中间件软件,这意味着这些计算机很容易被用于传播SamSam和其他勒索软件,这也突出了一直存在的未打补丁系统的风险问题。在扫描包含JBoss漏洞的受感染机器后,思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中。
Talos报告称,未打补丁的JBoss正在被一个或多个webshell利用,webshell是可上传到Web服务器并对该服务器进行远程管理的脚本。该报告表明,企业需要对修复生产软件非常警惕。
“在这个过程中,我们了解到在受影响的JBoss服务器中通常有不只一个webshell,”Talos威胁研究人员Alexander Chiu写道,“我们看到很多不同的后门程序,括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。这意味着很多这些系统已经由不同的攻击者进行多次攻击。”
其中受影响的企业包括学校、政府和航空企业等,有些受影响系统在运行Follett Destiny(这是追踪学校图书馆资产的管理系统,被用在全球各地的K-12学校)。Follett已经确定了这个问题,并发布了JBoss漏洞的修复程序,并且还与Talos合作来分析攻击者使用的webshell。
“Webshell是重大的安全问题,因为它表明攻击者已然攻击了该服务器,并可远程控制它,”Chiu写道,“并且,受影响的Web服务器可能被攻击者利用,以在内部网络横向移动。”
Talos建议企业尽快修复受影响的设备,首先应该移除对外部网络的访问以防止攻击者访问该系统,然后重新镜像该系统或者从备份中恢复,接着升级软件版本,再重新应用到生产环节。
根据Talos表示,最重要的是确保软件补丁及时更新。“攻击者在选择攻击目标时并不会排除旧系统,因为这可以帮助他们赚钱,”Cylance公司安全研究人员Derek Soeder表示,“特别是对于不加选择的攻击者,即便易受攻击的系统只有小部分暴露在互联网中,也值得他们发动攻击。”
根据威胁管理公司PhishMe研究人员Sean Wilson表示,Web框架特别容易受到攻击。
“我们已经看到攻击者使用webshell很长一段时间,通常瞄准WordPress和Joomla等Web框架,因为这些已经得到个人用户的广泛部署和使用,”Wilson表示,“它们有成熟的插件生态系统,可包含基本框架进行部署,也许不太容易受攻击,不过多个过期的插件就可能包含可被攻击者利用的漏洞。”
JexBoss webshell工具以及旧的JBoss漏洞
受影响的服务器中发现的webshell是JexBoss,这是用于测试和利用JBoss应用服务器中漏洞的开源工具。JexBoss可在GitHub找到,并具有渗透测试和审计等合法用途。Talos报告称,JexBoss被用于传播SamSam勒索软件变体。传统的勒索软件攻击是通过网络钓鱼或漏洞利用工具包来传播,而SamSam则是在服务器上获得立足点,然后在受害网络中横向传播。
JBoss是由Red Hat Software发布的中间件,JBoss的漏洞在2010年被发现并修复,被命名为CVE-2010-0738。Talos报告称这个漏洞仍然在被用于传播SamSam勒索软件。
专家们一致认为,大量易受攻击的系统表明企业需要定期修复已安装的软件。
“这些补丁于多年前发布,但IT专业人员和个人通常没有及时安装安全补丁,”数据保护公司Carbonite公司首席传播者Norman Guadagno表示,“在这种情况下,攻击者发现攻击教育IT系统的机会,但正如我们所看到的,这并不分行业。这也再次提醒我们为什么IT管理员需要重新审视其安全状态和政策。”
处理补丁问题
端点安全初创公司Barkly Protect首席执行官Jack Danahy表示:“补丁管理和保持系统更新并不容易。系统和应用之间存在复杂的依存关系,这让更新决策变得很困难。”JBoss漏洞让攻击者可攻击学校,但需要更新的应用是Follett的Destiny图书馆管理系统。如果系统管理员没有意识到Destiny依赖于JBoss,JBoss漏洞的存在可能不会让他们意识到更新其图书馆管理系统的紧迫性。
在这里,修复可能是关键,但对于资源有限的企业来说,这并不总是容易的事情。“资源匮乏的企业在规划项目成本时应该考虑一些未来的修复成本,”CASB网络安全研究主管Yishai Beeri表示,“定期修复可缓解很多长期存在的漏洞利用,最起码,应该优先修复面向公众的系统。”
“随着时间的推移,易受攻击系统的数量会越来越多,”Soeder说道,“有时候是由于疏忽,通常企业并不知道他们正在运行的所有系统,这有可能因为易受攻击的软件被嵌入到另一个产品中去。”Soeder解释说,软件未及时修复还有很多其他原因,包括系统管理员没有意识到他们运行的软件包含漏洞或者他们并没有从供应商处获得更新。
在一些情况下,管理员没有足够的资源来部署补丁,或者他们试图修复补丁时,补丁并未生效;“有时候这就像在修复后忘记重启,”Soeder称,“攻击者是机会主义者,而这些疏忽都是他们的机会。”
下一个未打补丁、不受支持的框架或平台是什么?
Guadagno表示:“在很多情况下,这些攻击者并没有重新发明攻击方法;他们只是利用已知的漏洞而已。”
攻击者可能会继续瞄准那些未打补丁的含有易受攻击插件的服务器,Wilson称:“我们可能会看到勒索软件扩散到这些服务中去,且作为继电器或者端点来加载恶意软件的载体。企业门户网站或其他企业端点是服务器端勒索软件的目标,因为这里的影响会比个人用户博客大得多。再加上现有的漏洞利用,攻击者可从中获得丰厚的利润。”
“现在仍有数百个广泛使用的框架包含可利用且还没有修复的漏洞,例如OpenSSL、Tomcat、Java,”安全测试供应商Bugcrowd研究员及业务高级总监Kymberlee Price表示,“这些库可能被用于网络中多个独特的应用里,这需要IT人员重复修复相同的底层漏洞。”
Guadagno表示:“我们知道,没有得到正确架构或维护的系统通常是最危险的系统,目前最危险的平台是Windows XP,它已经不再受支持,但仍有2.5亿人在使用它。此外,Microsoft Server 2003也即将终止支持,这些都可能成为勒索软件的首要目标。”
如何防止更多漏洞?
“如果你还没有为保护环境和数据进行投资,之后你可能会付出代价,”Price称,“对于使用第三方库的开发人员,部署BlackDuck等代码扫描工具可帮助保持安全性。”
Price还建议结合代码扫描的结果与威胁情报信息来修复最高风险问题;自动化还可帮助提高员工效率。还有很多其他方法,包括通过高级网络监控扫描需要更新的软件、部署网络访问控制以及入侵检测解决方案,还有在单个系统使用杀毒软件和恶意软件清除程序等。
“如果你找不到某个产品的任何安全公告,请警惕,因为这可能意味着没有人在测试该产品的安全性,或者供应商的安全流程不成熟或不存在。他们应该有全面的流程来通知客户安全问题的存在,他们还应该免费提供安全补丁,即便主流支持已经终止。如果可能的话,你可考虑转移到基于云的系统,由云计算提供商来处理安全问题,减轻你的负担。”
“补丁管理已经不再只是在周二安装操作系统时更新,”Danahy称,“企业的被攻击面已经扩大到涉及数百个软件包,随着不断添加新的功能和产品,企业在为未来的预算和规划中需要考虑这些新增部分的更新成本。”
“预防是最好的良药,”戴尔最终用户计算执行主管Brett Hansen称,企业可通过内部IT人才或有限预算做很多工作,最大限度地发挥其资源,企业还需要优先排序安全工作,“每个企业都需要对软件维护工作以及补丁安装进行优先排序,以减少IT基础设施中漏洞范围。确保IT基础设施保持更新,以帮助各种规模的企业在最大程度上控制风险。”
最后,Hansen称:“异地数据备份很重要,这样如果你被勒索攻击,你还可以恢复备份,你的数据永远不会丢失。”
Guadagno称:“我们一次又一次看到攻击者瞄向‘依靠计算机系统执行关键业务功能的大型企业’,以前我们认为备份是值得拥有的功能,而现在备份已经变成必须拥有的功能。”