2011 年 10 月 23 日
パッチ未適用またはセキュリティ保護されていない JBoss Application Server およびその変型製品を介して拡散する新しいインターネットワームが報告されています。感染したホストは、保護されていない JMX コンソールをスキャンして接続し、ターゲットシステムでコードを実行します。Red Hat によると、このワームは、JMX コンソールを正しく保護していない JBoss Application Server のユーザーと、JBoss エンタープライズ製品のパッチを適用していない古いバージョンのユーザーに影響します。
JBoss コミュニティでの検出とクリーニングの手順など、ワームに関する詳細情報はこちらから入手できます: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server
この脅威は、以下のいくつかの基本的なセキュリティのベストプラクティスに従うことで軽減できます。まず、必要に応じて、最新バージョンをゼロからインストールするか、既存のバージョンを最新のバージョンに更新することで、JBoss エンタープライズ製品の最新バージョンを実行していることを確認します。Red Hat は、この問題 (CVE-2010-0738) に対処するために 2010 年 4 月に JBoss エンタープライズ製品のアップデートを作成しました。参照:https://access.redhat.com/kb/docs/DOC-30741
次に、ユーザー名/パスワードのファイルまたは独自の Java Authentication and Authorization Service (JAAS) ドメインを使用して、JBoss エンタープライズ製品の JMX コンソールを認証で保護します。Red Hat は、JMX コンソールを保護する方法に関する詳細な手順を含む記事を提供しています。参照: https://developer.jboss.org/docs/DOC-12190
JBoss エンタープライズ製品の JMX コンソールは、TCP ポート 8080 または TCP ポート 8443 で実行できます (上記の手順に従って、SSL 経由で JMX コンソールを保護した場合)。
AWS は、インバウンド TCP ポート 8080 および/または 8443 (または JMX コンソール用に選択したポート) を、正当な JMX コンソールセッションの発信元であるソース IP アドレスだけに制限することを推奨いたします。こうしたアクセス制限は、EC2 セキュリティグループを適宜設定することで適用できます。セキュリティグループを適切に設定および適用する方法に関する情報と例については、次のドキュメントを参照してください: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html