23. Oktober 2011
Es wurde ein neuer Internetwurm gemeldet, der sich über ungepatchte oder ungesicherte JBoss-Anwendungsserver und davon abgeleitete Produkte verbreitet. Von befallenen Hosts wird nach ungeschützten JMX-Konsolen gesucht. Anschließend wird eine Verbindung zu diesen Konsolen hergestellt und Code auf dem Zielsystem ausgeführt. Nach Angaben von Red Hat betrifft dieser Wurm Benutzer von JBoss-Anwendungsservern, deren JMX-Konsolen nicht ordnungsgemäß gesichert sind, sowie Benutzer älterer, ungepatchter Versionen von JBoss Enterprise-Produkten.
Ausführliche Informationen zum Wurm sowie eine Anleitung der JBoss-Community zur Erkennung und Beseitigung des Wurms finden Sie hier: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Sie können sich vor dieser Bedrohung schützen, indem Sie einige grundlegende und bewährte Sicherheitsmaßnahmen befolgen. Stellen Sie zunächst sicher, dass Sie die neuste Version der JBoss Enterprise-Produkte verwenden. Führen Sie dafür entweder eine Neuinstallation der neusten Version durch oder aktualisieren Sie Ihre bereits vorhandene Version auf die neuste. Red Hat hat im April 2010 ein Update für JBoss Enterprise-Produkte entwickelt, um diesen Fehler zu beheben (CVE-2010-0738). Weitere Informationen finden Sie unter:https://access.redhat.com/kb/docs/DOC-30741.
Richten Sie zudem für die JMX-Konsole Ihres JBoss Enterprise-Produkts die Authentifizierung mit einer Datei mit Benutzername und Kennwort oder Ihrer eigenen JAAS-Domäne (Java Authentication and Authorization Service) ein. Red Hat hat einen Artikel mit detaillierten Anweisungen zur Sicherung der JMX-Konsole veröffentlicht, siehe: https://developer.jboss.org/docs/DOC-12190.
Die JMX-Konsole Ihres JBoss Enterprise-Produkts wird möglicherweise über TCP-Port 8080 oder TCP-Port 8443 ausgeführt (sofern Sie die oben genannten Anweisungen ausgeführt und Ihre JMX-Konsole per SSL gesichert haben).
AWS empfiehlt, dass Sie den Zugriff auf TCP-Port 8080 und/oder 8443 bzw. den von Ihnen für eingehenden Datenverkehr bei Ihrer JMX-Konsole verwendeten Port auf die IP-Adressen beschränken, von denen legitime Sitzungen mit der JMX-Konsole hergestellt werden. Diese Zugriffsbeschränkungen können durch eine entsprechende Konfiguration Ihrer EC2-Sicherheitsgruppen eingerichtet werden. Weitere Informationen und Beispiele für die ordnungsgemäße Konfiguration und Verwendung von Sicherheitsgruppen finden Sie in der folgenden Dokumentation: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.