titulo

titulo

Especialistas da Cisco descobriram mais de 3 milhões de servidores vulneráveis na internet enquanto escaneavam para a presença do JBoss Backdoor. De acordo com a cisco Systems, os mais de 3 milhões de servidores que estão expostos na internet estão potencialmente abertos aos ataques baseados no ransomware Samsam por estarem executando o software vulnerável.

Atacantes está visando vulnerabilidades em servidores para espalhar ransomware, os especialistas do Cisco Services Team descobriram que hackers estão usando Jboss como um vetor para as suas infecções. De acordo com os pesquisadores no blog oficial: “Nós começamos a olhar profundamente para os vetores JBoss que foram usados como o ponto inicial de comprometimento. inicialmente, nos começamos a escanear a internet por máquinas vulneráveis. Isso nos levou a aproximadamente 3.2 milhões de máquinas em risco”.

Os especialistas começaram as investigações escaneando máquinas que já estava comprometidas. A atividade de escaneamento web permitiu aos pesquisadores descobrir cerca de 2,100 servidores comprometidos pertencentes a escolas, governos, companhias de aviação, e outros tipos de organização. Os hackers instalaram webshells para manter o controle sobre os sistemas infectados.

Dezenas de sistemas comprometidos estava executando o software “Follet Destiny”, um sistema de gerenciamento comumente usado por muitas livrarias de escolas para rastrear livros. A Cisco reportou os problemas ao Follet Learning que desenvolve o aplicativo que solucionou a vulnerabilidade. O software “Destiny” atualizado é capaz de escanear máquinas por sinais de infecção e remover qualquer backdoor que estava instalado pelos atacantes. Os especialistas da Cisco providenciaram uma série de recomendações para remover a webshell de servidores comprometidos.

“A nossa primeira recomendação, se ela é possível, é remover o acesso externo ao servidor. Isso irá prevenir os adversários de acessar o servidor remotamente. Idealmente, você poderia também re-utilizar a imagem do sistema e instalar versões atualizadas do software. Essa é a melhor maneira de assegurar que os adversários não será capazes de acessar o servidor”. Ainda afirma o post do blog da Cisco:” Se por alguma razão você está incapaz de reconstruir completamente, a próxima melhor opção seria restaurar do backup anterior ao comprometimento e então atualizar o servidor para uma versão não vulnerável antes de retornar a produção”. Uma observação detalhada do post também inclui indicadores que são associados com a presença de vários webshells, recomenda o site securityaffairs.com.

fonte:

http://securityaffairs.co/wordpress/46362/hacking/jboss-backdoor.html

http://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/jboss-logo.jpg?w=765

http://blog.talosintel.com/2016/04/jboss-backdoor.html