По свидетельству Cisco Talos, уязвимость, используемая как точка входа для криптоблокера SamSam, присутствует в 3,2 млн серверов приложений JBoss. Более того, исследователи обнаружили, что тысячи таких серверов уже снабжены удобным бэкдором.

По свидетельству Cisco, хуже всего ситуация в американских общеобразовательных школах, работающих по программе К-12 (полное среднее образование, от детского сада до 12-го класса) и использующих ПО Destiny издателя Follett, предназначенное для организации доступа к ресурсам школьных библиотек. Систему управления Destiny используют 60 тыс. школ, и Follett уведомила клиентов, что в некоторых серверах присутствует бэкдор, позволяющий проводить кибератаки. Follett уже выпустила патч, устранивший проблему.

Специалисты Cisco, принявшие участие в создании патча, отмечают, что атакующие используют специальный инструмент Jexboss, помогающий скомпрометировать серверы JBoss. Эксплойт конкретной уязвимости позволяет злоумышленникам устанавливать веб-шелл и бэкдоры, в том числе mela, shellinvoker, jbossinvoker и jbot, причем заражения возобновляются раз за разом.

«Последние несколько дней Talos занят оповещением заинтересованных сторон, в том числе школ, правительств, авиастроительных компаний и проч.», — пишут исследователи в блоге.

JBoss — это ПО промежуточного уровня, ныне выпускаемое Red Hat; оно включает софт корпоративного класса, используемый для создания и интеграции приложений, данных и устройств, а также для автоматизации бизнес-процессов.

Уязвимость в JBoss, о которой идет речь (CVE-2010-0738), была обнаружена более пяти лет назад; патч для нее был выпущен в 2010 году. За истекший период JBoss поменял имя на WildFly, однако многие организации все еще полагаются на устаревшие версии JBoss (4.x и 5.x), так как приложения создавались с их помощью. «На настоящий момент мы связываем уязвимости с отсутствием патчей на серверах», — заявила Red Hat в своем комментарии Threatpost.

Что касается SamSam, одной из новейших итераций вымогательского ПО, она, по свидетельству Cisco Talos, умышленно ориентирована на использование уязвимостей в JBoss. Наибольшей опасности подвергаются учебные заведения, бюджет которых обычно не позволяет как следует обезопасить серверы и оконечное оборудование. По данным экспертов, около 30% школ, уязвимых к таким атакам, находятся на территории США.

«Учитывая серьезность проблемы, скомпрометированный узел следует отключить незамедлительно, так как злоумышленники могут использовать его с разными целями, — пишут исследователи в информационном бюллетене. — На этих серверах размещен JBoss, недавно использованный в масштабной вымогательской кампании».

Исследователи также отметили, что, хотя в настоящее время наиболее вероятная форма атаки — SamSam, это не единственная угроза. «Захватив контроль над сервером, атакующий сможет делать все, что ему заблагорассудится, в том числе загружать дополнительные инструменты», — предупреждает Cisco Talos. Скомпрометированный сервер можно также использовать для проведения DDoS-атаки или для генерации биткойнов.

При обнаружении бэкдора эксперты рекомендуют заблокировать внешний доступ к JBoss-серверу, создать новый образ системы и установить новейшие версии ПО.

Категории: Вредоносные программы, Уязвимости