3,2 миллиона серверов под угрозой вымогателей

3,2 миллиона серверов стали жертвами старой уязвимости, за которую плотно взялись кибервымогатели.

3,2 миллиона серверов стали жертвами старой уязвимости, за которую плотно взялись кибервымогатели. Cisco выпустила грозное предупреждение в начале месяца, заявив, что более 3 миллионов серверов уязвимы для уязвимости в ПО JBoss, и многие из них уже пострадали от бэкдоров.

JBoss (в настоящее время WildFly) — это связующее ПО разработки Red Hat, в состав которого входит программное обеспечение корпоративного уровня, используемое для создания и интеграции приложений, данных и устройств, а также для автоматизации бизнес-процессов. Уязвимости, о которой идёт речь, стукнуло уже пять лет (то есть она действительно старая), и патч для неё доступен с 2010 года. Red Hat с тех пор даже успела переименовать JBoss.

Тем не менее, в качестве живого примера феномена «неторопливого» IT-обновления, недуга, весьма характерного для крупных предприятий, старые и уязвимые версии JBoss всё ещё в ходу из-за многочисленных кастомных приложений, написанных под эти версии.

Старым изъяном воспользовались операторы масштабной вымогательской кампании под названием SamSam. В отличие от многих других, SamSam нацелена непосредственно на серверы. По состоянию на конец марта больницы оказались главными жертвами нападений, однако позже выяснилось, что хакеры использовали ту же самую уязвимость для несанкционированного проникновения в сети множества школ (главным образом в США).

Согласно Threatpost, сильнее прочих пострадали школы K-12, использующие программное обеспечение для управления библиотекой Destiny от Follett.

Для компрометации серверов злоумышленники применяют специально разработанный под JBoss эксплойт под названием Jexboss. По мнению исследователей из Cisco Talos, уязвимость JBoss использовалась для подбрасывания ряда сетевых оболчек и бэкдоров, в том числе «mela», «shellinvoker», «jbossinvoker» и «jbot», а это означает, что машины, вероятно, взламывались снова и снова.

Появление серверной программы-вымогателя, мягко говоря, не радует. В отличие от более распространенных видов нападений на конечные точки, атака вымогателя требует, по крайней мере, некоторого содействия со стороны доверчивого пользователя. Серверным же шифраторам такая помощь не нужна: у злоумышленников масса возможностей для незаметного проникновения, в то время как урон, нанесённый внутренней инфраструктуре пострадавшей компании может оказаться куда серьёзнее вреда «обычных» вымогателей.

Операторы SamSam успешно определили для себя ключевые системы данных для шифрования, чтобы повысить шансы на успех от шантажа.

Больницы подверглись нападению из-за распространённого мнения о том, их кибербезопасность не отвечает современным стандартам, и медучреждения часто полагаются на устаревшие технологии (Securelist недавно опубликовал большую статью по безопасности больниц — дела там обстоят не ахти).

Тем не менее, медицинские учреждения и школы — не единственные возможные цели для подобных атак, о чём мы ещё обязательно услышим. 3,2 миллиона уязвимых серверов — это угрожающая цифра сама по себе.

Вышеупомянутая уязвимость JBoss подробно описана по этой ссылке, там же имеется соответствующий патч. Компания Follett также выпустила собственное руководство по решению проблемы с Destiny, где предлагаются следующие рекомендации.

  • Проверьте, не установлена ли сетевая оболочка (возможно, не одна) на подозрительном сервере.
  • Если таковые найдутся, доступ к серверу извне следует блокировать как можно скорее.
  • Follett рекомендует переустановить систему и инсталлировать обновлённые версии программного обеспечения, если таковое вообще возможно.
  • Если нет, то лучшим вариантом является восстановление из резервной копии до компрометации с последующим обновлением сервера до неуязвимой версии, прежде чем вернуть его в работу.
  • Пользователи Destiny получают автоматические обновления; установка корректного патча удаляет все оболочки бэкдоров.

Follett также рекомендует использовать авторитетное защитное программное обеспечение. «Лаборатория Касперского» располагает соответствующими продуктами как для малого и среднего бизнеса, так и для крупных предприятий.

Советы