Backdoor trên nền tảng java JBoss ảnh hưởng tới 3,2 triệu server

Các chuyên gia vừa phát hiện chiến dịch phát tán mã độc tống tiền thông qua khai thác lỗ hổng trên nền tảng ứng dụng java JBoss. Tin tặc đã lợi dụng lỗ hổng để xâm nhập và các máy chủ doanh nghiệp và sau đó phát tán mã độc tống tiền tới các máy khách được kết nối.

Mã độc tống tiền SamSam (trước đó được biết đến với tên gọi Samas) lần đầu được Microsoft phát hiện vào giữa tháng 3/2016. Tại thời điểm đó, FBI cũng gửi cảnh báo tới các công ty về mã độc mới khai thác lỗ hổng trên JBoss để lây nhiễm hạ tầng của họ.

Sau khi Intel và Cisco lần lượt đưa ra thông báo cùng write-up về cách thức tin tặc vận hành mã độc, mọi thứ trở nên rõ ràng hơn. Tin tặc đã khai thác các lỗ hổng trên các phiên bản JBoss cũ chạy trên các máy chủ cả của tổ chức công hay doanh nghiệp tư nhân.

image_5532

Phát hiện thêm nhiều máy chủ bị lây nhiễm khi tiến hành điều tra
Sau phát hiện ban đầu, Cisco đã tiến hành tìm hiểu kỹ lưỡng về sự phổ biến của lỗ hổng trên nền tảng JBoss.
Nghiên cứu chỉ ra rằng khoảng 3,2 triệu máy chủ web đang chạy các phiên bản JBoss cũ. Trong đó, 2,100 máy chủ đã bị xâm nhập, chạy trên 1,600 IP khác nhau, chỉ chờ kẻ đứng sau mã độc khởi động để phát tán payload mã độc tống tiền.
Các máy chủ bị xâm nhập thuộc về các trường học, chính phủ, công ty hàng không…
Phát hiện cả các backdoor khác ngoài SamSam
Bên cạnh các tập tin lây nhiễm SamSam, các chuyên gia cũng phát hiện các backdoor nổi tiếng khác, như “mela”, “shellinvoker”, “jbossinvoker”, “zecmd”, “cmd”…
Sự hiện diện của các backdoor khác cho thấy kẻ đứng sau SamSam không chỉ biết đến và tận dụng lỗ hổng trên JBoss .
Các chuyên gia sau đó đã thông báo cho các bên bị ảnh hưởng. Phần lớn trường hợp, các máy chủ lây nhiễm thuộc về các trường học sử dụng JBoss cho hệ thống quản lý thư viện có tên Destiny – do Fellot sản xuất.
Thông thường, vụ việc tương tự bắt nguồn từ sự thiếu chuyên nghiệp của một công ty cùng với một phần mềm độc hại và sau là không đáp ứng các tiêu chuẩn an ninh, tuy nhiên trường hợp này hoàn toàn ngược lại.
Các chuyên gia cho biết Fellot vận hành một hệ thống vá lỗi vô cùng ấn tượng và có thể vá tất cả các phiên bản phần mềm từ 9.0 đến 13.5, nâng cấp JBoss cho khách hàng của mình để không bị khai thác. Hãng thậm chí bắt được các tập tin không phải Destiny từ các máy chủ của người dùng để loại bỏ hiệu quả các backdoor cho người dùng.
Backdoor dựa trên công cụ test máy chủ nguồn mở JBoss
Kiểm tra các tập tin, Cisco lần ra đoạn mã của backdoor dẫn đến một công cụ test JBoss có tên gọi JexBoss – được open-source trên GitHub.
Sau phát hiện này, US-CERT đã đưa ra cảnh báo toàn cầu, khuyến cáo toàn bộ các quản trị viên kiểm tra máy chủ web xem có phát hiện được webshell hay không.
Mới hôm qua, IBM cũng thông báo về hoạt động của một nhóm tin tặc sử dụng webshell C99 PHP để chiếm quyền điều khiển máy chủ thông qua các lỗ hổng trong các plugin đã cũ trên WordPress.

Theo: Forum WhiteHat