23 octobre 2011
Un nouveau ver Internet se propageant via les serveurs d'applications JBoss non corrigés ou non sécurisés et des produits à variantes a été signalé. Les hôtes infectés recherchent les consoles JMX non protégées et s'y connectent, puis exécutent le code sur le système cible. Selon Red Hat, ce ver affecte les utilisateurs de serveurs d'applications JBoss qui n'ont pas correctement sécurisé leurs consoles JMX, ainsi que les utilisateurs de versions antérieures et non corrigées des produits JBoss destinés aux entreprises.
Des informations détaillées sur le ver, notamment des instructions de la communauté JBoss concernant la détection et le nettoyage, sont disponibles à la page suivante : http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Cette menace peut être atténuée en suivant certaines des meilleures pratiques de sécurité de base. Dans un premier temps, assurez-vous d'avoir exécuté la dernière version des produits JBoss destinés aux entreprises en installant celle-ci ou en mettant à jour votre version existante vers la dernière, si nécessaire. Red Hat a créé une mise à jour pour les produits JBoss destinés aux entreprises en avril 2010 afin de régler ce problème (CVE-2010-0738). Pour en savoir plus, veuillez consulter la page suivante :https://access.redhat.com/kb/docs/DOC-30741.
Ensuite, sécurisez la console JMX de votre produit JBoss destiné aux entreprises grâce à l'authentification en utilisant un fichier nom d'utilisateur/mot de passe ou votre propre domaine JAAS (Java Authentication and Authorization Service). Red Hat a rédigé un article avec des instructions détaillées sur la façon de sécuriser la console JMX. veuillez consulter : https://developer.jboss.org/docs/DOC-12190.
La console JMX de votre produit JBoss destiné aux entreprises peut s'exécuter sur le port TCP 8080 ou TCP 8443 (si vous avez suivi les instructions indiquées ci-dessus et sécurisé la console JMX via le protocole SSL).
AWS vous recommande de limiter les ports TCP entrants 8080 et/ou 8443 (ou tout autre port que vous avez choisi pour votre console JMX) uniquement aux adresses IP sources à partir desquelles les sessions de la console JMX légitimes doivent provenir. Vous pouvez appliquer ces restrictions d'accès en configurant vos groupes de sécurité EC2 en conséquence. Pour en savoir plus et obtenir des exemples sur la marche à suivre pour configurer et appliquer des groupes de sécurité de manière appropriée, veuillez vous reporter à la documentation suivante : http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.