شماره: IRCNE2012121713
تاريخ: 09/10/91
محققان امنيتي شركت Trend Micro يك بدافزار از نوع راه نفوذ مخفي (backdoor) را كشف كردهاند كه سرورهاي HTTP مبتني بر جاوا را آلوده كرده و به مهاجمان اجازه ميدهد كه دستورات خرابكار را بر روي سيستمها اجرا نمايند.
اين تهديد كه با عنوان BKDR_JAVAWAR.JG شناخته ميشود، بهصورت يك صفحه جاوا سرور (JSP) است. JSP يك نوع صفحه وب است كه ميتواند فقط از طريق يك سرور وب خاص با يك Java servlet مانند Apache Tomcat به كار گرفته شود.
زماني كه اين صفحه مورد استفاده قرار ميگيرد، مهاجم ميتواند از راه دور به آن دسترسي پيدا كرده و با استفاده از يك كنسول وب، از توابع آن براي مرور كردن، بارگذاري، ويرايش، حذف، دانلود يا كپي كردن فايلها از سيستم آلوده، استفاده نمايد. اين كار مشابه عملكرد راههاي نفوذ مخفي مبتني بر PHP است كه عمدتا با نام PHP Web shell شناخته ميشوند.
به گفته محققان Trend Micro، علاوه بر دسترسي به اطلاعات حساس، يك مهاجم كنترل سيستم آلوده را از طريق راه نفوذ مخفي به دست آورده و ميتواند دستورات خرابكار بيشتري را بر روي سرور آسيبپذير اجرا نمايد.
راه نفوذ مخفي JSP ميتواند توسط ساير بدافزارهايي كه بر روي سيستم ميزبان سرور HTTP مبتني بر جاوا وجود دارند نصب گردد يا اينكه در هنگام مرور وبسايتهاي خرابكار، دانلود شود.
بنا بر يادداشتهاي فني Trend Micro، اين بدافزار سيستمهاي ويندوز 2000، ويندوز سرور 2003، ويندوز XP، ويندوز ويستا و ويندوز 7 را هدف قرار ميدهد.
به گفته محققان Trend Micro، يك سناريوي محتمل ديگر براي حمله، زماني است كه مهاجم وب سايتهاي نيرو گرفته از Apache Tomcat را چك كرده و سعي ميكند به Tomcat Web Application Manager دسترسي پيدا نمايد. با استفاده از يك ابزار شكستن كلمه عبور، مجرمان سايبري قادر هستند لاگين كرده و حقوق مديريتي را براي به كار گيري فايلهاي WAR به دست آورند.
براي محافظت از اين سرورها در برابر اين تهديد، مديران سيستم بايد از كلمات عبور قوي استفاده كنند كه به راحتي با استفاده از ابزارهاي معمول شكسته نشود. همچنين بايد تمامي به روز رسانيهاي امنيتي موجود را براي سيستمها و نرمافزارهاي خود اعمال نمايند و از مشاهده وبسايتهاي ناشناخنه و غيرقابل اعتماد خودداري كنند.
- 2