شماره: IRCNE2013112020
تاريخ:29/08/92
مهاجمان در حال سوء استفاده از يك آسيب پذيري شناخته شده در سرور برنامه هاي كاربردي JBoss Java EE مي باشند تا پس از در اختيار گرفتن كنترل سرور، خدمات HTTP Invoker را در معرض خطر قرار دهند.
در اوايل ماه اكتبر Andrea Micalizziيك محقق امنيت، كد سوء استفاده اي را براي يك آسيب پذيري موجود در برخي از محصولات مانند Hewlett-Packard، مك آفي، سيمانتك و IBM كه از نسخه هاي 4.x و 5.x برنامه JBoss استفاده مي كردند، منتشر كرد. اين آسيب پذيري با عنوان CVE-2013-4810 شناخته مي شود و به مهاجم غيرمجاز اجازه مي دهد تا برنامه هاي كاربردي دلخواه را كه موجب افشاي EJBInvokerServlet يا JMXInvokerServlet مي شود، بر روي JBoss نصب نمايد.
محققان شركت امنيتي Imperva اخيرا كشف كردند كه حملات عليه JBoss كه از كد سوء استفادهMicalizzi استفاده مي كند، در حال افزايش مي باشد.
با توجه به اظهارات Barry Shteiman، مدير امنيت شركت Imperva، بيش از 200 سايت بر روي سرورهاي JBoss در حال اجرا مي باشند و بسياري از آن ها متعلق به سازمان هاي دولتي و دانشگاه ها مي باشند كه مورد سوء استفاده قرار گرفتند.
يافته هاي سال 2011 نشان مي دهد كه 7300 سرور به طور بالقوه آسيب پذير مي باشند. با توجه به اظهارات Shteiman، تعداد سرورهاي JBoss كه آسيب پذير مي باشند از آن زمان تاكنون سه برابر شده است و نزديك به 23000 سرور JBoss آسيب پذير وجود دارد.
يكي از دلايل افزايش اين آسيب پذيري آن است كه مردم ريسك هاي مربوط به اين مساله را به درستي درك نكرده اند. هم چنين بسياري از توليدكنندگان محصولاتي را عرضه مي كنند كه داراي پيكربندي ناامن JBoss مي باشند مانند عرضه محصولاتي كه نسبت به كد Micalizzi آسيب پذير مي باشند.
محصولاتي كه در معرض خطر آسيب پذيري CVE-2013-4810 قرار دارند عبارتند از: McAfee Web Reporter نسخه 5.2.1، HP ProCurve Manager (PCM) نسخه 3.20 و 4.0، HP PCM+ نسخه 3.20 و 4.0، HP Identity Driven Manager (IDM) نسخه 4.0، Symantec Workspace Streaming نسخه 7.5.0.493 و IBM TRIRIGA. با اين وجود محصولات توليد كنندگان ديگر نيز ممكن است نسبت به اين مساله آسيب پذير باشند.
تيم امنيتي Red Hat اعلام كرد كه اين مساله در نسخه اخير JBoss برطرف شده است و JBoss AS نسخه هاي 4.x و 5.x آسيب پذير نمي باشند.
- 2