2011년 10월 23일
패치되지 않거나 안전하지 않은 JBoss 애플리케이션 서버 및 변형 제품을 통해 확산되는 새로운 인터넷 웜이 보고되었습니다. 감염된 호스트는 보호되지 않은 JMX 콘솔을 검색하여 콘솔에 연결한 다음 대상 시스템에서 코드를 실행합니다. Red Hat에 따르면 이 웜은 JMX 콘솔에 올바르게 보안을 설정하지 않은 JBoss 애플리케이션 서버 사용자와 패치가 적용되지 않은 이전의 JBoss 엔터프라이즈 제품 사용자에게 영향을 줍니다.
검색 및 제거를 위한 JBoss 커뮤니티 지침을 포함하여 웜에 대한 자세한 내용은 http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server를 참조하십시오.
이 위협은 다음과 같은 몇 가지 기본 보안 모범 사례를 따르면 완화할 수 있습니다. 먼저, 필요에 따라 처음부터 최신 버전을 설치하거나 기존 버전을 업데이트하여 JBoss 엔터프라이즈 제품의 최신 버전을 실행합니다. Red Hat은 이 문제(CVE-2010-0738)를 해결하기 위해 2010년 4월에 JBoss 엔터프라이즈 제품에 대한 업데이트를 생성했습니다. https://access.redhat.com/kb/docs/DOC-30741을 참조하십시오.
다음으로, 사용자 이름/암호 파일 또는 자체 Java Authentication and Authorization Service(JAAS) 도메인을 사용하여 JBoss 엔터프라이즈 제품의 JMX 콘솔에 인증으로 보안을 설정합니다. Red Hat은 JMX 콘솔에 보안을 설정하는 방법에 대한 자세한 지침이 포함된 문서를 제공했습니다. https://developer.jboss.org/docs/DOC-12190을 참조하세요.
JBoss 엔터프라이즈 제품의 JMX 콘솔은 TCP 포트 8080 또는 TCP 포트 8443(위에서 설명한 지침에 따라 SSL을 통해 JMX 콘솔에 보안을 설정한 경우)에서 실행할 수 있습니다.
인바운드 TCP 포트 8080 및/또는 8443(또는 JMX 콘솔용으로 선택한 포트)을 적법한 JMX 콘솔 세션이 발생되어야 하는 소스 IP 주소로 제한하는 것이 좋습니다. 이러한 액세스 제한은 EC2 보안 그룹을 적절히 구성하여 적용할 수 있습니다. 보안 그룹을 적절히 구성하고 적용하는 방법에 대한 자세한 내용 및 예는 설명서(http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html)를 참조하십시오.