lolloj - Fotolia
Des millions de serveurs JBoss susceptibles d’être détournés
Les chercheurs de la division Talos de Cisco ont découvert 3,2 millions de serveurs exécutant une version non corrigée de JBoss. Ils peuvent être utilisés pour distribuer des logiciels malveillants ou être pris en otage.
L’estimation a de quoi donner le tournis. Selon les chercheurs de la division Talos de Cisco, spécialistes du renseignement sur les menaces, rien moins que 3,2 millions de serveurs seraient susceptibles d’être détournés par distribuer des logiciels malveillants… ou d’être la cible de rançongiciels n’attendant que d’être installés. Et l’on pense là tout naturellement à la campagne SamSam visant précisément les serveurs JBoss. Mais les machines compromises peuvent également servir de point d’entrée sur le système d’information pour une attaque en profondeur.
En cherchant des machines vulnérables déjà compromises, les équipes de Talos ont ainsi découvert plus de 2100 portes dérobées déposées sur des systèmes représentant près de 1600 adresses IP.
Pour identifier les serveurs JBoss affectés, les chercheurs ont cherché des webshell : des scripts pouvant être transférés sur un serveur et qui, lors de leur exécution, permettent d’en prendre le contrôle à distance. Et là, surprise : « il y a normalement plus d’un webshell par serveur JBoss compromis […] Nous avons observé plusieurs backdoors différentes […] Ce qui implique que nombre de ces systèmes ont été compromis à plusieurs reprises par des acteurs différents ».
Parmi les organisations compromises, les équipes de Talos ont identifié des écoles, des gouvernements, des compagnies aériennes, entre autres. Et de recommander, « compte tenu de la sévérité du problème », que les systèmes compromis soient « immédiatement arrêtés ».
Dans le détail, les chercheurs suggèrent, à la découverte d’un webshell, de commencer par supprimer toute forme d’accès externe au serveur concerné. Mais il y a plus : « idéalement, vous devriez ré-imager le système et installer des versions mises à jour des logiciels. C’est le meilleur moyen de s’assurer que les attaquants ne pourront pas accéder au serveur ». Mais ce travail s’avère impossible, « la meilleure option suivante est de restaurer une sauvegarde datant d’avant la compromission et de mettre à jour le serveur avec une version logicielle non vulnérable, avant de le remettre en production ».
Reste que le travail d’analyse conduit par les équipes de Talos souligne une fois de plus l’importance de la gestion des mises à jour et des correctifs, tout autant que sa difficulté sur des environnements de production. D’autant plus que, dans le cas présent, la vulnérabilité JBoss mise à profit a été découverte et corrigée en 2010.