Un worm per JBoss

C’è un nuovo worm in circolazione in questo momento che sta compromettendo server che eseguono versioni non aggiornate di JBoss Application Server al fine di creare una botnet. Il worm tenta anche di installare uno strumento di accesso remoto in modo da permette il controllo remoto dei server appena infettati.

Il worm sta circolando almeno da un paio di giorni. Non è chiaro al momento quanti server siano stati compromessi o quali siano le origini del malware. A quanto pare al fine di compromettere nuove macchine, il worm sfrutta una vecchia vulnerabilità di JBoss Application Server, che è stata risolta nel mese di aprile del 2010. Una volta che questo è riscito a fare breccia su un nuovo server, il worm inizia una sequenza post-infezione che include una serie di passi successivi.

Un utente che ha trovato il worm su una delle sue macchina honeypot ha caricato un messaggio a Pastebin che comprende una serie di script Perl, uno dei quali crea rapidamente una connessione tra il server appena infettato e un server IRC, così da aggiungere la macchina compromessa ad una botnet, al servizio degli attaccanti. Il worm installa anche un RAT (remote access tool via dyndns) per un uso futuro da parte dell’attaccante.

Red Hat, l’azienda che controlla lo sviluppo di JBoss e fornisce supporto a pagamento, ha ribadito che il worm sfrutta una vulnerabilità già risolta più di un anno fa pertanto tutti coloro che utilizzano una versione non provista della patch dovrebbero installarla il prima possibile.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *