23 Ottobre 2011
È stato segnalato un nuovo internet worm che si diffonde tramite il server delle applicazioni JBoss senza patch o non protetto e prodotti con varianti. Gli host infetti ricercano e si connettono a console JMX non protette, eseguendo codice sul sistema target. Secondo Red Hat, questo worm colpisce utenti del server delle applicazioni JBoss che non hanno protetto correttamente le proprie console JMX così come utenti di versioni più vecchie e senza patch dei prodotti aziendali JBoss.
Informazioni dettagliate sul worm, incluse istruzioni di comunità JBoss per il rilevamento e la pulizia sono disponibili qui: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Questo pericolo può essere attenuato seguendo alcune best practice di sicurezza di base. Innanzitutto, assicurati di eseguire l'ultima versione dei prodotti aziendali JBoss installando l'ultima versione da zero oppure aggiornando la versione esistente a quella più recente, in base alle esigenze. Red Hat ha prodotto un aggiornamento ai prodotti aziendali JBoss nell'aprile 2010 per far fronte a questo problema (CVE-2010-0738), consulta:https://access.redhat.com/kb/docs/DOC-30741.
In seguito, proteggi la console JMX del tuo prodotto aziendale JBoss con l'autenticazione utilizzando un file nome utente/password oppure il tuo dominio personale Java Authentication and Authorization Service (JAAS). Red Hat ha fornito un articolo con istruzioni dettagliate su come proteggere la console JMX, consulta: https://developer.jboss.org/docs/DOC-12190.
La console JMX del tuo prodotto aziendale JBoss può essere eseguita sulla porta TCP 8080 o in alternativa sulla porta TCP 8443 (se hai seguito le istruzioni sopra citate e protetto la console JMX tramite SSL).
AWS consiglia di limitare la porta TCP inbound 8080 e/o 8443 (o qualunque porta scelta per la console JMX) soltanto a quegli indirizzi IP sorgenti da cui le sessioni della console JMX dovrebbero aver origine. Le limitazioni di accesso possono essere applicate configurando i gruppi di sicurezza EC2 di conseguenza. Per informazioni ed esempi su come configurare e applicare correttamente i gruppi di sicurezza, fare riferimento alla seguente documentazione: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.