• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Un gusano se aprovecha de Servidores JBoss Application Server vulnerables o mal configurados

Un gusano se aprovecha de Servidores JBoss Application Server vulnerables o mal configurados

24 octubre, 2011 Por Juan José Ruiz 3 comentarios

Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados.

JBoss Application Server es un servidor de aplicaciones J2EE que actualmente va por su versión 7. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por parte de los desarrolladores como por las empresas.

Se ha detectado un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función ‘store’ del servicio ‘jboss.admin’ de la forma siguiente:

También se aprovecha de sistemas más antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano está escrito en Perl, y se puede encontrar un interesante análisis en el apartado de más información.

Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX:


http://community.jboss.org/wiki/SecureTheJmxConsole

Además resulta conveniente configurar las siguientes protecciones lógicas:

* Quitar los privilegios de ‘root’ a los procesos de JBoss AS.

* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear todas las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para ello se debe editar el archivo ‘deploy/jmx-console.war/WEB-INF/web.xml’ y eliminar las líneas indicadas:

* Habilitar ‘RewriteValve’ para bloquear peticiones externas que intenten acceder a URLs de administración como, por ejemplo, jmx-console, editando el archivo ‘deploy/jbossweb.sar/server.xml’ de la siguiente forma:

Además es conveniente crear el directorio ‘conf/jboss.web’, y en su interior el fichero ‘rewrite.properties’ con el siguiente contenido:

Esto bloqueará todas las peticiones que no provengan de la propia máquina (127.0.0.1) o de la red LAN (en este ejemplo 192.168.x.x).

Nótese en la antepenúltima línea del ejemplo del fichero de configuración, que la IP de la red es del tipo 192.168.x.x, esto debe modificarse según la configuración concreta de la red de cada caso.

Juan José Ruiz
jruiz@hispasec.com

Más información:

Statement Regarding Security Threat to JBoss Application Server
http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server

Securing the JMX Console and Web Console (HTTP)
http://community.jboss.org/wiki/SecureTheJmxConsole

JBoss Worm
http://pastebin.com/U7fPMxet

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Vulnerabilidades

Interacciones del lector

Comentarios

  1. Anónimo dice

    26 octubre, 2012 en 11:01 am

    Buenas,
    Gracias por la info, pero no consigo ver las imágenes con los pasos a seguir.

    Agradecería que las subieses de nuevo.

    Saludos,

    Responder
  2. ssantos dice

    26 octubre, 2012 en 11:18 am

    Corregido. Gracias por el aviso.

    Responder
  3. Beatriz dice

    22 enero, 2014 en 11:37 pm

    Yo acabo de entrar y no veo las imagenes :S

    Responder

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Las 25 peores contraseñas del 2018
  • Nueva campaña de Phishing contra Facebook

Entradas recientes

  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows

Etiquetas

Apple Cisco D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale