攻撃者は既知の脆弱性を積極的に悪用し、HTTP Invoker サービスを安全でない方法でインターネットに公開する JBoss Java EE アプリケーション サーバーを侵害しています。
10月初旬、セキュリティ研究者のアンドレア・ミカリッツィ氏は、ヒューレット・パッカード、マカフィー、シマンテック、IBMなど複数のベンダーのJBoss 4.xおよび5.xバージョン搭載製品に存在する脆弱性を突くエクスプロイトを公開しました。CVE-2013-4810として追跡されているこの脆弱性により、認証されていない攻撃者が、EJBInvokerServletまたはJMXInvokerServletを公開するJBossデプロイメント上に任意のアプリケーションをインストールすることが可能となります。
Micalizzi のエクスプロイトは、pwn.jsp と呼ばれる Web シェルアプリケーションをインストールします。このアプリケーションは、HTTP リクエストを介してオペレーティングシステム上でシェルコマンドを実行するために使用できます。コマンドは、JBoss を実行している OS ユーザーの権限で実行されます。一部の JBoss デプロイメントでは、高い権限を持つ管理者ユーザーが実行される場合があります。
セキュリティ企業 Imperva の研究者らは最近、Micalizzi のエクスプロイトを利用してオリジナルの pwn.jsp シェルだけでなく、JspSpy と呼ばれるより複雑な Web シェルもインストールする JBoss サーバーに対する攻撃が増加していることを検出しました。
Impervaのセキュリティ戦略担当ディレクター、バリー・シュタイマン氏は、政府機関や大学に属するものも含め、JBossサーバー上で稼働している200以上のサイトがハッキングされ、これらのWebシェルアプリケーションに感染したと述べた。
問題は実際にはもっと大きい。なぜなら、Micalizzi 氏が説明した脆弱性は、JBoss 管理インターフェースと呼び出し側が認証されていない攻撃にさらされる安全でないデフォルト設定から生じており、これは何年も前から知られている問題だからだ。
2011 年にセキュリティ保護されていない JBoss インストールが攻撃される可能性のある複数の方法についてのプレゼンテーションで、Matasano Security のセキュリティ研究者は、特定の文字列の Google 検索に基づいて、潜在的に脆弱なサーバーが約 7,300 台あると推定しました。
Shteiman 氏によれば、インターネットに公開されている管理インターフェースを備えた JBoss サーバーの数はそれ以来 3 倍以上に増加し、23,000 台を超えています。
シュテイマン氏によると、この増加の理由の一つは、この問題が過去に議論された際に人々がそのリスクを十分に理解しておらず、安全でないJBossのインストールを続けていることだと考えられる。また、一部のベンダーは、ミカリッツィ氏の脆弱性を突く製品のように、安全でないJBoss構成で製品を出荷していると同氏は述べた。
CVE-2013-4810の脆弱性がある製品には、McAfee Web Reporter 5.2.1、HP ProCurve Manager(PCM)3.20および4.0、HP PCM+ 3.20および4.0、HP Identity Driven Manager(IDM)4.0、Symantec Workspace Streaming 7.5.0.493、IBM TRIRIGAなどがあります。ただし、まだ特定されていない他のベンダーの製品も脆弱性を持つ可能性があります。
JBossはRed Hatによって開発され、最近WildFlyに名称が変更されました。最新の安定バージョンは7.1.1ですが、Shteiman氏によると、多くの組織は互換性上の理由から、これらのバージョン向けに開発された古いアプリケーションを実行する必要があるため、依然としてJBoss 4.xおよび5.xを使用しています。
これらの組織は、JBoss コミュニティ Web サイトで入手できる JBoss インストールのセキュリティ保護に関する指示に従う必要があると彼は述べた。
IBM は、Micalizzi の脆弱性への対応として、JMX コンソールと EJBInvoker のセキュリティ保護に関する情報も提供しました。
Red Hat セキュリティレスポンスチームは、CVE-2013-4810 は HP ProCurve Manager における認証されていない JMXInvokerServlet および EJBInvokerServlet インターフェースの脆弱性を指しているものの、「これらのサーブレットは、サポート対象外の古いコミュニティリリースの JBoss AS (WildFly) 4.x および 5.x でも、デフォルトで認証なしで脆弱性が存在します。JMXInvokerServlet および EJBInvokerServlet インターフェースを含む、サポート対象のすべての Red Hat JBoss 製品は、デフォルトで認証が適用されるため、この問題の影響を受けません。また、新しいコミュニティリリースの JBoss AS (WildFly) 7.x も、この問題の影響を受けません」と述べています。
Shteiman 氏と同様に、Red Hat は、古い JBoss AS リリースのユーザーに対して、呼び出しサーブレット インターフェースに認証を適用するために JBoss Web サイトで入手可能な指示に従うことを推奨しました。
Red Hatのセキュリティチームも、2012年にCVE-2012-0874として脆弱性を追跡して以来、この問題がJBoss Enterprise Application Platform、Web Platform、およびBRMS Platformの特定のバージョンに影響を与えることを認識していました。この問題はすでに修正されており、JBoss AS 4.xおよび5.xをベースとする現在のバージョンのJBoss Enterprise Platformsは脆弱性の影響を受けないと、セキュリティチームは述べています。
