23 октября 2011 г.

 

Появился новый интернет-червь, который распространяется через необновленный или незащищенный сервер приложений JBoss и другие продукты. Зараженные хосты выполняют поиск незащищенных консолей JMX, а затем подключаются к ним и выполняют код в целевой системе. По данным Red Hat этот червь поражает пользователей сервера приложений JBoss, которые не защитили свои консоли JMX должным образом, а также пользователей старых, необновленных версий корпоративных продуктов JBoss.

Подробную информацию о черве, в том числе инструкции сообщества JBoss по выявлению и удалению, можно найти здесь: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.

Эту угрозу можно минимизировать, следуя основным рекомендациям по безопасности. Во-первых, установите последнюю версию корпоративных продуктов JBoss с нуля или обновите существующую версию до последней. В апреле 2010 года компания Red Hat выпустила обновление для корпоративных продуктов JBoss для устранения этой проблемы (CVE-2010-0738). Его можно найти здесь: https://access.redhat.com/kb/docs/DOC-30741.

Во-вторых, защитите консоль JMX корпоративного продукта JBoss с помощью аутентификации, используя файл с именем пользователя и паролем или собственный домен JAAS. Компания Red Hat выпустила статью с подробными инструкциями по защите консоли JMX. Их можно найти здесь: https://developer.jboss.org/docs/DOC-12190.

Консоль JMX корпоративного продукта JBoss может работать на TCP-порту 8080 или на TCP-порту 8443 (если вы выполнили приведенные выше инструкции и защитили консоль JMX с помощью SSL).

AWS рекомендует разрешить доступ к входящему TCP-порту 8080 и/или 8443 (или другому порту, выбранному для консоли JMX) только тем IP-адресам, с которых будут исходить разрешенные сеансы консоли JMX. Эти ограничения доступа можно применить, настроив группы безопасности EC2. Информацию и примеры правильной настройки и применения групп безопасности см. здесь: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.