Une vulnérabilité JBoss négligée
Les pirates commencent à exploiter massivement une vulnérabilité découverte dans JBoss en 2011 et qui semble toujours négligée.
Imperva tire la sonnette d’alarme. Dans un billet de blog, ce fournisseur de solutions de sécurité alerte en effet sur l’exploitation désormais largement répandue d’une vulnérabilité affectant le server d'application JBoss qui a été présentée… en 2011, à l’occasion de conférences sur la sécurité. Et c’est début octobre qu’un exploit a été rendu public. Depuis, explique Imperva, « nous avons constaté une forte augmentation des attaques sur JBoss, se manifestant par le trafic malicieux provenant des serveurs infectés et observé sur [nos] pots de miel ».
L’exploit s’appuie sur une vulnérabilité du service HTTP Invoker de JBoss qui permet d’exécuter des commandes à distance. Ce service permet d’accéder aux composants Java Beans d’entreprise en les invoquant via le protocole HTTP.
Imperva s’étonne du fait que la surface d’attaque offerte par cette vulnérabilité connue depuis longtemps n’a cessé de croître : « le nombre de serveurs exposant leurs interfaces d’administration JBoss a plus que triplé depuis que la vulnérabilité a été présentée en 2011 », passant de 7 000 à 23 000 selon une recherche Google. Dans le lot, Imperva relève des sites gouvernementaux et « nous en avons identifiés certains infectés ». La vulnérabilité peut également être exploitée contre les produits McAfee, Symantec et IBM basés sur JBoss 4 et 5. HP a quant à lui mis à jour ses produits ProCurve Manager, et Identity Driven Manager, courant octobre, afin de protéger ses clients.
Et Imperva de recommander donc que « les utilisateurs de JBoss sécurisent leur application Web en suivant les consignes du manuel JBoss », tout en précisant que ses clients sont protégés contre l’exploitation de la vulnérabilité.