23 Oktober 2011
Sebuah worm Internet baru dilaporkan telah menyebar melalui Server Aplikasi JBoss dan beragam produk yang tidak di-patch atau tidak aman. Host yang terinfeksi memindai dan menghubungkan ke konsol JMX yang tidak terlindungi, lalu mengeksekusi kode di sistem target. Menurut Red Hat, worm ini berdampak pada pengguna Server Aplikasi JBoss yang belum mengamankan konsol JMX dengan benar, serta pelanggan produk perusahaan JBoss yang menggunakan versi lama dan tidak di-patch.
Informasi terperinci mengenai worm, termasuk instruksi komunitas JBoss guna mendeteksi dan membersihkan, tersedia di sini: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Ancaman ini dapat dimitigasi dengan mengikuti beberapa praktik terbaik keamanan dasar. Pertama, pastikan Anda menjalankan versi terbaru dari produk perusahaan JBoss dengan menginstal versi terbaru dari awal atau memperbarui versi saat ini ke versi terbaru, sesuai kebutuhan. Red Hat memproduksi pembaruan untuk produk perusahaan JBoss pada April 2010 guna mengatasi masalah ini (CVE-2010-0738), harap lihat: https://access.redhat.com/kb/docs/DOC-30741.
Kedua, amankan konsol JMX pada produk perusahaan JBoss melalui autentikasi menggunakan file nama pengguna/kata sandi atau domain Layanan Autentikasi dan Otorisasi Java (JAAS) milik Anda sendiri. Red Hat telah menyediakan artikel dengan instruksi detail tentang cara mengamankan konsol JMX, harap lihat: https://developer.jboss.org/docs/DOC-12190.
Konsol JMX pada produk perusahaan JBoss Anda dapat dijalankan di TCP port 8080 atau TCP port 8443 (jika Anda telah mengikuti instruksi yang disebutkan di atas dan mengamankan konsol JMX melalui SSL).
AWS menganjurkan Anda untuk membatasi TCP port 8080 dan/atau 8443 (atau port mana pun yang Anda pilih untuk konsol JMX) untuk menjadi satu-satunya alamat IP yang merupakan sumber dari sesi konsol JMX yang sah. Pembatasan akses ini dapat diterapkan dengan mengonfigurasi Grup Keamanan EC2 Anda. Untuk informasi dan contoh tentang cara mengonfigurasi serta menerapkan Grup Keamanan dengan benar, harap rujuk dokumentasi berikut: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.