JBoss Application Server es un servidor de aplicaciones J2EE. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por los desarrolladores como por las empresas.
Se detectó un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin'.
También se aprovecha de sistemas antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano se encuentra escrito en Perl.
Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX: http://community.jboss.org/wiki/SecureTheJmxConsole
Además se recomienda configurar las siguientes protecciones lógicas:
* Quitar los privilegios de 'root' a los procesos de JBoss AS.
* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para eso se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas.
* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración editando el archivo 'deploy/jbossweb.sar/server.xml'
Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el archivo 'rewrite.properties'.
Esto bloqueará todas las peticiones que no provengan de la propia máquina o de la red LAN.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4748
Se detectó un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin'.
También se aprovecha de sistemas antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano se encuentra escrito en Perl.
Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX: http://community.jboss.org/wiki/SecureTheJmxConsole
Además se recomienda configurar las siguientes protecciones lógicas:
* Quitar los privilegios de 'root' a los procesos de JBoss AS.
* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para eso se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas.
* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración editando el archivo 'deploy/jbossweb.sar/server.xml'
Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el archivo 'rewrite.properties'.
Esto bloqueará todas las peticiones que no provengan de la propia máquina o de la red LAN.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4748
No hay comentarios:
Publicar un comentario