(Por Rubén Borlenghi, el Microsaurio) Si administrás un JBoss Application Server, preparate y agarrate, pero solamente si sos vagoneta y no lo tenés actualizado. Parece mentira, pero el Jboss_worm, como lo han bautizado, aprovecha una falla de 2010. ¿Serás tan descuidado como para merecértelo? Aunque no te toque, vení que te cuento.
El aviso llegó desde el Internet Storm Center, del instituto SANS, y desde el españolísimo CERT de INTECO. Los datos eran coincidentes, porque seguían más o menos la información publicada acá por Mark Cox, el Director de Respuestas de Seguridad de Red Hat.
SI administrás un Servidor de Aplicaciones JBoss, y antes de tirarte de los pelos, te repito que la falla de diseño que aprovechó el ignoto desarrollador del malware fue solucionada; está en el código de los productos corporativos JBoss anteriores a abril de 2010. Los detalles técnicos de esa falla están en este otro documento, y en síntesis se trata… de una configuración “por defecto” de la consola de control JMX, por medio de la cual un atacante podía iniciar acciones a su voluntad en el sistema, sin necesidad de conocer nombres de usuario o contraseñas. Ay, las configuraciones de fábrica… qué peligro…
Como era de imaginar, busqué la infaltable nota de la Güiquipedia que define el uso de este software, y da el número de versión actual (sin esa falla de programación) del JBoss Application Server, la 7.0.2, del 22 de setiembre de este año. Así que los admin podrán saber ipso pucho si hay que salir corriendo a actualizar o no.
Un pequeño problema: ya se enteró todo el mundo
El amable Ron el Californiano, más conocido por “guerrilla7”, quien descubrió un ejemplar del gusano en un server, tuvo la buena idea de postear en Cierto Website Público el código que encontró. Lo cual, ojito, significa que además del desgraciado diseñador original, podrías tener la visita de un imitador (o varios).
Los componentes que inserta el gusano
Leyendo ese código me pude enterar que, al mejor estilo “malware para infectar PC hogareñas”, esta porquería copia en el software de servidor estos archivos:
- Un backdoor (puertra trasera) para permitir subsiguientes ingresos del atacante;
- Flu.pl, una herramienta que se conecta a un canal de chat para incorporar el server infectado a una Botnet;
- Wstools.bat, un script usado para explorar servicios JBoss instalados en la máquina atacada;
- Probe.bat, que explora el entorno del servidor para ver si encuentra otras posibles víctimas;
- Linda.pl, otro script, que se emplea para arrancar la consola de control JMX
Observación final:
Mark Cox recuerda que JBoss publicó instrucciones detalladas para completar las configuraciones de seguridad de la consola JMX.
Por lo tanto, en este como en muchos otros casos:
- –>te avisaron
- –>te pidieron que actualizaras
- –>te proveyeron el software “limpio de bichos”
- –>te indicaron cómo hacer más seguro el componente afectado
Qué querés que te diga… si te agarran sin los perros, no tenés disculpa…