Hacker Manfaatkan Celah JBoss Untuk Eksploitasi Server



Celah JBoss

Hacker kini secara aktif memanfaatkan celah dari aplikasi JBoss Java EE yang mana mengekspos HTTP Invoker service ke internet dengan cara yang tidak aman.
Pada awal Oktober peneliti keamanan Andrea Micalizzi meluncurkan sebuah exploit dari celah yang telah ia identifikasi pada produk dari beberapa vendor termasuk Hewlett-Packard, McAfee, Symantec dan IBM yang menggunakan versi 4.x dan 5.x dari JBoss. Celah tersebut, dilacak dengan CVE-2013-4810, memperbolehkan penyerang untuk meng-install aplikasi sesuka hati tanpa proses otentikasi pada instalasi JBoss yang mengeksposEJBInvokerServlet atau JMXInvokerServlet.
Exploit dari Micalizzi terhadap instalasi sebuah aplikasi web disebut dengan pwn.jsp yang dapat digunakan untuk menjalankan perintah dalam sistem operasi melalui permintaan HTTP. Perintah yang dijalankan dengan hak istimewa dari pengguna OS menjalankan JBoss, dimana dalam beberapa kasus dari penyebaran JBoss dapat menjadi hak istimewa yang sangat tinggi, sebagai administratif pengguna.
Pengamat dari perusahaan keamanan Imperva baru-baru ini mendeteksi peningkatan serangan terhadap serverJBoss yang digunakan Micalizzi untuk meng-install pwn.jsp asli, tetapi web yang lebih kompleks disebut denganJspSpy.
Lebih dari 200 situs yang menjalankan server JBoss, termasuk beberapa dari milik Negara dan universitas yang telah di-hack dan terinfeksi beberapa aplikasi web, ujar Barry Shteiman, kepala strategi keamanan Imperva.
Masalah sebenarnya jauh lebih besar dari celah yang dijelaskan oleh Micalizzi mengenai konfigurasi yang tidak aman yang telah ditinggalkan manajemen JBoss dan pemanfaatan kebocoran untuk penyerangan palsu, sebuah isu yang telah diketahui selama bertahun-tahun.
Berdasarkan informasi dari Shteiman, jumlah server JBoss dengan pembocoran manajemen ke internet tiga kali lipat lebih besar dari sebelumnya, mencapai hampir 23,000.
Salah satu alasan meningkatnya hal tersebut dikarenakan mungkin orang tidak mengetahui secara jelas terhadap risiko yang berhubungan dengan isu tersebut ketika hal itu sudah dibicarakan sebelumnya dan dilanjutkan dengan menyebarkan keamanan instalasi JBoss, ujar Shteiman. Beberapa vendor juga mengirimkan produk dengan konfigurasi keamanan JBoss, seperti celah dari produk Micalizzi, ujar ia.
Celah pada produk untuk CVE-2013-4810 termasuk McAfee Web Reporter 5.2.1, HP ProCurve Manager 3.20 dan4.0, HP PCM+ 3.20 dan 4.0, HP Identity Driven Manager 4.0, Symantec Workspace Streaming 7.5.0.493 dan IBM TRIRIGA. Meskipun, produk dari vendor lainnya belum diidentifikasi ternyata bisa juga menjadi celah.
JBoss dikembangkan oleh Red Hat dan baru-baru ini berganti nama menjadi WildFly. Dengan versi terbarunya 7.1.1, tetapi berdasarkan Shteiman banyak organisasi yang masih menggunakan JBoss 4.x dan 5.x untuk alasan kompatibilitas yang mereka butuhkan untuk dijalankan dalam aplikasi lama yang dikembangkan untuk versi tersebut.
Organisasi-organisasi tersebut harus mengikuti aturan untuk mengamankan instalasi JBoss mereka yang tersedia pada situs JBoss Community, ujarnya.
IBM juga menyediakan informasi pada keamanan JMX Console dan EJBInvoker untuk merespon pembocoran dari Micalizzi.


CATEGORIES

SHARETHIS

...................................................................................................

 
Return to top of page Copyright © 2013 | PEDOGITY Converted into Blogger Template by hudant