JBOSS

事前通知で、安全なデジタル社会を目指す仲間を増やす

執筆者：Tazz Talos は引き続き、JBoss エクスプロイトを使用した攻撃が進行中であるのを確認しています。調査活動を通じて、侵害されたホストをさらに 600 程度特定しました。パッチの適用されていない JBoss 環境は攻撃者の侵害を受けており、これらのサイトには WebShell が含まれています。こうした事態に対応して、Talos は、ホスト侵害の被害者が適切な修復策をとれるよう、被害者への通知を行っています。本ブログ記事では、通知プロセスの概要を示すとともに、実際の現場でよく見られる WebShell 500 個のリストなど、各自が自身の JBoss 環境を精査するのに使用できる指標を提示します。

続きを読む

JBoss バックドアが深刻な脅威として拡散中

最近の SamSam による大規模なランサムウェア キャンペーンによって、ランサムウェアの配布における脅威の状況が一変しました。サーバの脆弱性を標的とするランサムウェアの拡散によって、すでに流行しつつある脅威は新たな次元へ突入しています。最近のカスタマー エンゲージメントをもとにシスコの IR サービス チームから提供された情報をふまえ、私たちは JBoss が侵入経路の起点として用いられている点に注目して調査を始めました。まず、インターネット上の脆弱な端末を探すことから始めたところ、リスクのある端末が約 320 万台もみつかりました。 さらに私たちは、すでに侵害され、ランサムウェアのペイロードに対して潜在的な待機状態となっている端末についても調査を行いました。結果、1,600 個近い IP アドレスにわたって、2,100 を超えるバックドアがインストールされていることが確認されたのです。ここ数日の間に、Talos は、学校、政府、航空会社など、影響を受ける関係各所への通知を行っています。 これらのシステムの中には、Follett 社の「Destiny」というソフトウェアがインストールされているものが複数ありました。

続きを読む