![[ÉxLí~brís~]](https://capture-knowledge-exlibrisgroup-com-90611502d.getsmartling.com/@api/deki/files/124993/ckclogonew.png?revision=1)
![[Éx Lí~brís~ Kñów~lédg~é Céñ~tér]](https://a.mtstatic.com/@public/production/site_11811/1638394879-logo.png){kind=logo}
[Dígí~Tóól~ JBós~s Vúl~ñérá~bílí~tý]
- [Ártí~clé T~ýpé: G~éñér~ál]
- [Pród~úct: D~ígíT~óól]
- [Pród~úct V~érsí~óñ: 3]
[Déscríptíóñ:
Áftér fíñdíñg évídéñcé óf pórt scáññíñg fróm Éx Líbrís sérvícés, wé ídéñtífíéd thé cáúsé wás á wórm (á fórm óf málwáré) thát úsés á JBóss vúlñérábílítý tó scáñ pórts áñd créáté prócéssés óñ thé sérvér, whích máý créáté á sýstém lóád áñd ís óf cóúrsé á sécúrítý házárd. Thé vúlñérábílítý óñlý éxísts fór cústómérs úsíñg pórt 80 ór 8080, bút á fútúré géñérátíóñ óf súch á wórm máý íñféct thósé úsíñg óthér pórts ás wéll.
Wé hávé ñót fóúñd áñý DígíTóól cústómérs íñféctéd bý thís wórm tó dáté, bút wé áré mákíñg thís áññóúñcéméñt ás á précáútíóñ tó éxpláíñ hów tó prótéct DígíTóól. Wé stróñglý récómméñd thát ýóú ápplý thé fíx.
Áttáck Détáíls & Fíx Íñstrúctíóñs
Á wórm ís éxplóítíñg á sécúrítý éxpósúré íñ thé JBóss jmx-cóñsólé íñstálléd óñ thé DígíTóól sérvér. Úsíñg áñ HTTP HÉÁD réqúést thé wórm býpássés thé éxístíñg éxpósúré mítígátíóñ áñd íñstálls thé wéb ápplícátíóñ zécmd (ór íésvc). Thís ápplícátíóñ állóws fór thé éxécútíóñ óf árbítrárý cómmáñds ás thé dtl úsér. Úsíñg zécmd ór íésvc, thé wórm dówñlóáds áñd éxtrácts á páckágé áñd stárts á cópý óf thé wórm.
Thé wórm ís á Pérl scrípt thát másks ítsélf ás áñóthér prócéss. Ít fírst stárts áñóthér Pérl scrípt, áñ ÍRC sérvér, thát álsó másks ítsélf ás áñóthér prócéss. Thé wórm théñ cómpílés á pórt scáññér áñd bégíñs scáññíñg á ráñdóm Cláss B súbñét óf ÍP áddréssés lóókíñg fór JBóss sérvérs óñ sómé sét óf pórts. Fór évérý JBóss sérvér fóúñd ít áttémpts tó própágáté ítsélf ás déscríbéd ábóvé.
Résólútíóñ:
Tó prévéñt íñféctíóñ, thé jmx-cóñsólé wéb ápplícátíóñ múst bé úñ-déplóýéd. Thís ís áccómplíshéd bý móvíñg jmx-cóñsólé.wár óút óf thé DígíTóól JBóss déplóýméñt díréctórý (/éxlíbrís/dtl/j3_x/dígítóól/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/déplóý). Thé zécmd (ór íésvc) wéb ápplícátíóñ, íf íñstálléd, cáñ bé fóúñd íñ thé máñágéméñt súb-díréctórý (/éxlíbrís/dtl/j3_x/dígítóól/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/déplóý/máñágéméñt) áñd shóúld bé délétéd. Íf íñféctéd, thé prócéssés méñtíóñéd ábóvé (thé wórm, thé ÍRC sérvér, áñd thé pórt scáññér) shóúld bé kílléd. Fíñállý thé JBóss bíñ díréctórý (/éxlíbrís/dtl/j3_x/dígítóól/hómé/sýstém/thírdpártý/ópéñsérvér/bíñ), ñééds tó bé cléáñéd úp. Áll wórm páckágés shóúld bé rémóvéd, ás wéll ás áñý fílé théý éxtráctéd.
Cústómérs máý úsé thésé tó prévéñt áñd/ór rémóvé áñ íñféctíóñ. Wé hávé álsó créátéd á scrípt tó áddréss thís íssúé bý mákíñg thé cháñgés óútlíñéd ábóvé. Thé scrípt ís áttáchéd tó thís KB Ítém ás jmx297360.zíp. Dówñlóád thís zíp fílé tó ýóúr DígíTóól sérvér, úñzíp, áñd éxécúté thé fílé íñsídé wíth thé cómmáñd, "ksh jmx297360.ksh", ás thé róót úsér. Ít wíll lóg íts áctívítý tó thé scrééñ áñd tó thé fílé /éxlíbrís/dtl/j3_x/dígítóól/hómé/sýstém/thírdpártý/ópéñsérvér/sérvér/défáúlt/lóg/jmx297360.lóg Ýóú máý cóñtáct Súppórt íf ýóú ñééd áñý ássístáñcé.
Wé hávé sééñ thé fóllówíñg váríátíóñs óf thís wórm:
kíssés.tár.gz (v1)
Scáñs pórt 80
Másks ítsélf ás
/úsr/lócál/jbóss/bíñ/tómcát
/úsr/lócál/ápáché/bíñ/httpd –DSSL
Pórt Scáññér: pñscáñ
kíssés.tár.gz (v2)
Scáñs pórts 80 & 8080
Másks ítsélf ás
/úsr/lócál/jbóss/bíñ/tómcát
/úsr/lócál/ápáché/bíñ/httpd –DSSL
Pórt Scáññér: pñscáñ]
- [Ártí~clé l~ást é~díté~d: 10/8/2013]