• [Ártí~clé T~ýpé: G~éñér~ál]
• [Pród~úct: Á~léph~]
• [Pród~úct V~érsí~óñ: 20]

[Déscríptíóñ:
Thís KB ís óñlý réléváñt fór cústómérs óñ Áléph SP 20.2.5 áñd lówér. Ít ís ñót réléváñt fór cústómérs úsíñg Áléph SP 20.2.6 áñd híghér.

Áftér fíñdíñg évídéñcé óf pórt scáññíñg fróm Éx Líbrís sérvícés, wé ídéñtífíéd thé cáúsé wás á wórm (á fórm óf málwáré) thát úsés á JBóss vúlñérábílítý tó scáñ pórts áñd créáté prócéssés óñ thé sérvér, whích máý créáté á sýstém lóád áñd ís óf cóúrsé á sécúrítý házárd. Thé vúlñérábílítý óñlý éxísts fór cústómérs úsíñg pórt 80 ór 8080, bút á fútúré géñérátíóñ óf súch á wórm máý íñféct thósé úsíñg óthér pórts ás wéll.

JBÓSS ís ñórmállý óñlý úséd bý Áléph wíth thé Réstfúl ÁPÍs, Áléph Wéb Sérvícés, áñd tó súppórt ÓPÁC víá Prímó. Wé hávé ñót fóúñd áñý Áléph cústómérs íñféctéd bý thís wórm tó dáté, bút wé áré mákíñg thís áññóúñcéméñt ás á précáútíóñ tó éxpláíñ hów tó prótéct Áléph. Íf ýóú áré ñót rúññíñg JBÓSS théñ ýóúr rísk ís rédúcéd, bút wé stíll stróñglý récómméñd thát ýóú ápplý thé fíx.

Áttáck Détáíls & Fíx Íñstrúctíóñs

Á wórm ís éxplóítíñg á sécúrítý éxpósúré íñ thé JBóss jmx-cóñsólé íñstálléd óñ thé Áléph ápplícátíóñ. Úsíñg áñ HTTP HÉÁD réqúést thé wórm býpássés thé éxístíñg éxpósúré mítígátíóñ áñd íñstálls thé wéb ápplícátíóñ zécmd (ór íésvc). Thís ápplícátíóñ állóws fór thé éxécútíóñ óf árbítrárý cómmáñds ás thé Áléph úsér. Úsíñg zécmd ór íésvc, thé wórm dówñlóáds áñd éxtrácts á páckágé áñd stárts á cópý óf thé wórm.

Thé wórm ís á Pérl scrípt thát másks ítsélf ás áñóthér prócéss. Ít fírst stárts áñóthér Pérl scrípt, áñ ÍRC sérvér, thát álsó másks ítsélf ás áñóthér prócéss. Thé wórm théñ cómpílés á pórt scáññér áñd bégíñs scáññíñg á ráñdóm Cláss B súbñét óf ÍP áddréssés lóókíñg fór JBóss sérvérs óñ sómé sét óf pórts. Fór évérý JBóss sérvér fóúñd ít áttémpts tó própágáté ítsélf ás déscríbéd ábóvé.

Tó prévéñt íñféctíóñ, thé jmx-cóñsólé wéb ápplícátíóñ múst bé úñ-déplóýéd. Thís ís áccómplíshéd bý móvíñg jmx-cóñsólé.wár óút óf thé Áléph JBóss déplóýméñt díréctórý (/éxlíbrís/áléph/á¿¿_¿/ñg/áléph/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/déplóý). Thé zécmd (ór íésvc) wéb ápplícátíóñ, íf íñstálléd, cáñ bé fóúñd íñ thé máñágéméñt súb-díréctórý (/éxlíbrís/áléph/á¿¿_¿/ñg/áléph/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/déplóý/máñágéméñt) áñd shóúld bé délétéd. Íf íñféctéd, thé prócéssés méñtíóñéd ábóvé (thé wórm, thé ÍRC sérvér, áñd thé pórt scáññér) shóúld bé kílléd. Fíñállý thé JBóss bíñ díréctórý (/éxlíbrís/áléph/ á¿¿_¿/ñg/áléph/hómé/sýstém/thírdpártý/ópéñsérvér/bíñ), ñééds tó bé cléáñéd úp. Áll wórm páckágés shóúld bé rémóvéd, ás wéll ás áñý fílé théý éxtráctéd.

Cústómérs máý úsé thésé tó prévéñt áñd/ór rémóvé áñ íñféctíóñ. Wé hávé álsó créátéd á scrípt tó áddréss thís íssúé bý mákíñg thé cháñgés óútlíñéd ábóvé. Thé scrípt ís áttáchéd tó thís KB Ítém ás jmx297360.zíp. Dówñlóád thís zíp fílé tó ýóúr Áléph ápplícátíóñ sérvér, úñzíp, áñd éxécúté thé fílé íñsídé wíth thé cómmáñd, "ksh jmx297360.ksh", ás thé róót úsér. Ít wíll lóg íts áctívítý tó thé scrééñ áñd úñdér thé Áléph róót díréctórý, tó thé fílé /éxlíbrís/áléph/á¿¿_¿/ñg/áléph/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/lóg/jmx297360.lóg Ýóú máý cóñtáct Súppórt íf ýóú ñééd áñý ássístáñcé.

Wé hávé sééñ thé fóllówíñg váríátíóñs óf thís wórm:
kíssés.tár.gz (v1)
Scáñs pórt 80
Másks ítsélf ás
/úsr/lócál/jbóss/bíñ/tómcát
/úsr/lócál/ápáché/bíñ/httpd –DSSL
Pórt Scáññér: pñscáñ
kíssés.tár.gz (v2)
Scáñs pórts 80 & 8080
Másks ítsélf ás
/úsr/lócál/jbóss/bíñ/tómcát
/úsr/lócál/ápáché/bíñ/httpd –DSSL
Pórt Scáññér: pñscáñ

Résólútíóñ:]

• [Ártí~clé l~ást é~díté~d: 10/8/2013]