23 de octubre de 2011
Se ha informado sobre un nuevo gusano de Internet que se propaga a través de servidores de aplicaciones de JBoss y otras variantes del producto que no han sido actualizados o que no son seguros. Los alojamientos infectados realizan un escaneo de las consolas JMX no protegidas y se conectan a ellas para ejecutar código en el sistema de destino. Según Red Hat, este gusano afecta a los usuarios de servidores de aplicaciones JBoss que no han asegurado correctamente sus consolas JMX, así como a los usuarios de versiones más antiguas y sin actualizar de los productos la compañía JBoss.
Puede encontrar información detallada acerca del gusano, como instrucciones para su detección y limpieza proveídas por la comunidad de JBoss, aquí: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Es posible mitigar la amenaza si sigue algunas prácticas recomendadas de seguridad básicas. En primer lugar, asegúrese de estar ejecutando la última versión de los productos de la compañía JBoss. Para ello, instale desde cero la última versión, o bien, actualice la versión que posee, según sus necesidades. En abril de 2010, Red Hat creó una actualización para los productos de la compañía JBoss a fin de abordar este problema (CVE-2010-0738). Consulte https://access.redhat.com/kb/docs/DOC-30741.
En segundo lugar, proteja la consola JMX de su producto de la compañía JBoss con autenticación mediante el uso de un archivo de nombre de usuario y contraseña o su propio dominio de servicio de autenticación y autorización de Java (JAAS). Red Hat ha proporcionado un artículo con instrucciones detalladas acerca de cómo proteger su consola JMX. Consulte https://developer.jboss.org/docs/DOC-12190.
La consola JMX de su producto de la compañía JBoss puede ejecutarse en el puerto TCP 8080 o, como alternativa, en el puerto TCP 8443 (si ha seguido las instrucciones mencionadas anteriormente y ha protegido la consola JMX por medio de SSL).
AWS recomienda que restrinja los puertos TCP 8080 y TCP 8443 de entrada (o a cualquier puerto que haya elegido para su consola JMX) solo a aquellas direcciones IP de origen desde las que se deberían originar sesiones legítimas de la consola JMX. Estas restricciones de acceso se pueden aplicar mediante la configuración de sus grupos de seguridad de EC2 de manera correcta. Para obtener información y ejemplos acerca de cómo configurar y aplicar de manera apropiada los grupos de seguridad, consulte la siguiente documentación: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.