目前多達(dá)320萬(wàn)計(jì)算機(jī)運(yùn)行著未打補(bǔ)丁版本的JBoss中間件軟件，這意味著這些計(jì)算機(jī)很容易被用于傳播SamSam和其他勒索軟件，這也突出了一直存在的未打補(bǔ)丁系統(tǒng)的風(fēng)險(xiǎn)問(wèn)題。在掃描包含JBoss漏洞的受感染機(jī)器后，思科Talos發(fā)現(xiàn)超過(guò)2100個(gè)后門(mén)程序被安裝在關(guān)聯(lián)近1600個(gè)IP地址的系統(tǒng)中。

Talos報(bào)告稱(chēng)，未打補(bǔ)丁的JBoss正在被一個(gè)或多個(gè)webshell利用，webshell是可上傳到Web服務(wù)器并對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程管理的腳本。該報(bào)告表明，企業(yè)需要對(duì)修復(fù)生產(chǎn)軟件非常警惕。

“在這個(gè)過(guò)程中，我們了解到在受影響的JBoss服務(wù)器中通常有不只一個(gè)webshell，”Talos威脅研究人員Alexander Chiu寫(xiě)道，“我們看到很多不同的后門(mén)程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。這意味著很多這些系統(tǒng)已經(jīng)由不同的攻擊者進(jìn)行多次攻擊。”

其中受影響的企業(yè)包括學(xué)校、政府和航空企業(yè)等，有些受影響系統(tǒng)在運(yùn)行Follett Destiny(這是追蹤學(xué)校圖書(shū)館資產(chǎn)的管理系統(tǒng)，被用在全球各地的K-12學(xué)校)。Follett已經(jīng)確定了這個(gè)問(wèn)題，并發(fā)布了JBoss漏洞的修復(fù)程序，并且還與Talos合作來(lái)分析攻擊者使用的webshell。

“Webshell是重大的安全問(wèn)題，因?yàn)樗砻鞴粽咭讶还袅嗽摲?wù)器，并可遠(yuǎn)程控制它，”Chiu寫(xiě)道，“并且，受影響的Web服務(wù)器可能被攻擊者利用，以在內(nèi)部網(wǎng)絡(luò)橫向移動(dòng)。”

Talos建議企業(yè)盡快修復(fù)受影響的設(shè)備，首先應(yīng)該移除對(duì)外部網(wǎng)絡(luò)的訪問(wèn)以防止攻擊者訪問(wèn)該系統(tǒng)，然后重新鏡像該系統(tǒng)或者從備份中恢復(fù)，接著升級(jí)軟件版本，再重新應(yīng)用到生產(chǎn)環(huán)節(jié)。

根據(jù)Talos表示，最重要的是確保軟件補(bǔ)丁及時(shí)更新。“攻擊者在選擇攻擊目標(biāo)時(shí)并不會(huì)排除舊系統(tǒng)，因?yàn)檫@可以幫助他們賺錢(qián)，”Cylance公司安全研究人員Derek Soeder表示，“特別是對(duì)于不加選擇的攻擊者，即便易受攻擊的系統(tǒng)只有小部分暴露在互聯(lián)網(wǎng)中，也值得他們發(fā)動(dòng)攻擊。”

根據(jù)威脅管理公司PhishMe研究人員Sean Wilson表示，Web框架特別容易受到攻擊。

“我們已經(jīng)看到攻擊者使用webshell很長(zhǎng)一段時(shí)間，通常瞄準(zhǔn)WordPress和Joomla等Web框架，因?yàn)檫@些已經(jīng)得到個(gè)人用戶(hù)的廣泛部署和使用，”Wilson表示，“它們有成熟的插件生態(tài)系統(tǒng)，可包含基本框架進(jìn)行部署，也許不太容易受攻擊，不過(guò)多個(gè)過(guò)期的插件就可能包含可被攻擊者利用的漏洞。”

JexBoss webshell工具以及舊的JBoss漏洞

受影響的服務(wù)器中發(fā)現(xiàn)的webshell是JexBoss，這是用于測(cè)試和利用JBoss應(yīng)用服務(wù)器中漏洞的開(kāi)源工具。JexBoss可在GitHub找到，并具有滲透測(cè)試和審計(jì)等合法用途。Talos報(bào)告稱(chēng)，JexBoss被用于傳播SamSam勒索軟件變體。傳統(tǒng)的勒索軟件攻擊是通過(guò)網(wǎng)絡(luò)釣魚(yú)或漏洞利用工具包來(lái)傳播，而SamSam則是在服務(wù)器上獲得立足點(diǎn)，然后在受害網(wǎng)絡(luò)中橫向傳播。

JBoss是由Red Hat Software發(fā)布的中間件，JBoss的漏洞在2010年被發(fā)現(xiàn)并修復(fù)，被命名為CVE-2010-0738。Talos報(bào)告稱(chēng)這個(gè)漏洞仍然在被用于傳播SamSam勒索軟件。

專(zhuān)家們一致認(rèn)為，大量易受攻擊的系統(tǒng)表明企業(yè)需要定期修復(fù)已安裝的軟件。

“這些補(bǔ)丁于多年前發(fā)布，但I(xiàn)T專(zhuān)業(yè)人員和個(gè)人通常沒(méi)有及時(shí)安裝安全補(bǔ)丁，”數(shù)據(jù)保護(hù)公司Carbonite公司首席傳播者Norman Guadagno表示，“在這種情況下，攻擊者發(fā)現(xiàn)攻擊教育IT系統(tǒng)的機(jī)會(huì)，但正如我們所看到的，這并不分行業(yè)。這也再次提醒我們?yōu)槭裁碔T管理員需要重新審視其安全狀態(tài)和政策。”

處理補(bǔ)丁問(wèn)題

端點(diǎn)安全初創(chuàng)公司Barkly Protect首席執(zhí)行官Jack Danahy表示：“補(bǔ)丁管理和保持系統(tǒng)更新并不容易。系統(tǒng)和應(yīng)用之間存在復(fù)雜的依存關(guān)系，這讓更新決策變得很困難。”JBoss漏洞讓攻擊者可攻擊學(xué)校，但需要更新的應(yīng)用是Follett的Destiny圖書(shū)館管理系統(tǒng)。如果系統(tǒng)管理員沒(méi)有意識(shí)到Destiny依賴(lài)于JBoss，JBoss漏洞的存在可能不會(huì)讓他們意識(shí)到更新其圖書(shū)館管理系統(tǒng)的緊迫性。

在這里，修復(fù)可能是關(guān)鍵，但對(duì)于資源有限的企業(yè)來(lái)說(shuō)，這并不總是容易的事情。“資源匱乏的企業(yè)在規(guī)劃項(xiàng)目成本時(shí)應(yīng)該考慮一些未來(lái)的修復(fù)成本，”CASB網(wǎng)絡(luò)安全研究主管Yishai Beeri表示，“定期修復(fù)可緩解很多長(zhǎng)期存在的漏洞利用，最起碼，應(yīng)該優(yōu)先修復(fù)面向公眾的系統(tǒng)。”

“隨著時(shí)間的推移，易受攻擊系統(tǒng)的數(shù)量會(huì)越來(lái)越多，”Soeder說(shuō)道，“有時(shí)候是由于疏忽，通常企業(yè)并不知道他們正在運(yùn)行的所有系統(tǒng)，這有可能因?yàn)橐资芄舻能浖磺度氲搅硪粋€(gè)產(chǎn)品中去。”Soeder解釋說(shuō)，軟件未及時(shí)修復(fù)還有很多其他原因，包括系統(tǒng)管理員沒(méi)有意識(shí)到他們運(yùn)行的軟件包含漏洞或者他們并沒(méi)有從供應(yīng)商處獲得更新。

在一些情況下，管理員沒(méi)有足夠的資源來(lái)部署補(bǔ)丁，或者他們?cè)噲D修復(fù)補(bǔ)丁時(shí)，補(bǔ)丁并未生效;“有時(shí)候這就像在修復(fù)后忘記重啟，”Soeder稱(chēng)，“攻擊者是機(jī)會(huì)主義者，而這些疏忽都是他們的機(jī)會(huì)。”

下一個(gè)未打補(bǔ)丁、不受支持的框架或平臺(tái)是什么?

Guadagno表示：“在很多情況下，這些攻擊者并沒(méi)有重新發(fā)明攻擊方法;他們只是利用已知的漏洞而已。”

攻擊者可能會(huì)繼續(xù)瞄準(zhǔn)那些未打補(bǔ)丁的含有易受攻擊插件的服務(wù)器，Wilson稱(chēng)：“我們可能會(huì)看到勒索軟件擴(kuò)散到這些服務(wù)中去，且作為繼電器或者端點(diǎn)來(lái)加載惡意軟件的載體。企業(yè)門(mén)戶(hù)網(wǎng)站或其他企業(yè)端點(diǎn)是服務(wù)器端勒索軟件的目標(biāo)，因?yàn)檫@里的影響會(huì)比個(gè)人用戶(hù)博客大得多。再加上現(xiàn)有的漏洞利用，攻擊者可從中獲得豐厚的利潤(rùn)。”

“現(xiàn)在仍有數(shù)百個(gè)廣泛使用的框架包含可利用且還沒(méi)有修復(fù)的漏洞，例如OpenSSL、Tomcat、Java，”安全測(cè)試供應(yīng)商Bugcrowd研究員及業(yè)務(wù)高級(jí)總監(jiān)Kymberlee Price表示，“這些庫(kù)可能被用于網(wǎng)絡(luò)中多個(gè)獨(dú)特的應(yīng)用里，這需要IT人員重復(fù)修復(fù)相同的底層漏洞。”

Guadagno表示：“我們知道，沒(méi)有得到正確架構(gòu)或維護(hù)的系統(tǒng)通常是最危險(xiǎn)的系統(tǒng)，目前最危險(xiǎn)的平臺(tái)是Windows XP，它已經(jīng)不再受支持，但仍有2.5億人在使用它。此外，Microsoft Server 2003也即將終止支持，這些都可能成為勒索軟件的首要目標(biāo)。”

如何防止更多漏洞?

“如果你還沒(méi)有為保護(hù)環(huán)境和數(shù)據(jù)進(jìn)行投資，之后你可能會(huì)付出代價(jià)，”Price稱(chēng)，“對(duì)于使用第三方庫(kù)的開(kāi)發(fā)人員，部署B(yǎng)lackDuck等代碼掃描工具可幫助保持安全性。”

Price還建議結(jié)合代碼掃描的結(jié)果與威脅情報(bào)信息來(lái)修復(fù)最高風(fēng)險(xiǎn)問(wèn)題;自動(dòng)化還可幫助提高員工效率。還有很多其他方法，包括通過(guò)高級(jí)網(wǎng)絡(luò)監(jiān)控掃描需要更新的軟件、部署網(wǎng)絡(luò)訪問(wèn)控制以及入侵檢測(cè)解決方案，還有在單個(gè)系統(tǒng)使用殺毒軟件和惡意軟件清除程序等。

“如果你找不到某個(gè)產(chǎn)品的任何安全公告，請(qǐng)警惕，因?yàn)檫@可能意味著沒(méi)有人在測(cè)試該產(chǎn)品的安全性，或者供應(yīng)商的安全流程不成熟或不存在。他們應(yīng)該有全面的流程來(lái)通知客戶(hù)安全問(wèn)題的存在，他們還應(yīng)該免費(fèi)提供安全補(bǔ)丁，即便主流支持已經(jīng)終止。如果可能的話，你可考慮轉(zhuǎn)移到基于云的系統(tǒng)，由云計(jì)算提供商來(lái)處理安全問(wèn)題，減輕你的負(fù)擔(dān)。”

“補(bǔ)丁管理已經(jīng)不再只是在周二安裝操作系統(tǒng)時(shí)更新，”Danahy稱(chēng)，“企業(yè)的被攻擊面已經(jīng)擴(kuò)大到涉及數(shù)百個(gè)軟件包，隨著不斷添加新的功能和產(chǎn)品，企業(yè)在為未來(lái)的預(yù)算和規(guī)劃中需要考慮這些新增部分的更新成本。”

“預(yù)防是最好的良藥，”戴爾最終用戶(hù)計(jì)算執(zhí)行主管Brett Hansen稱(chēng)，企業(yè)可通過(guò)內(nèi)部IT人才或有限預(yù)算做很多工作，最大限度地發(fā)揮其資源，企業(yè)還需要優(yōu)先排序安全工作，“每個(gè)企業(yè)都需要對(duì)軟件維護(hù)工作以及補(bǔ)丁安裝進(jìn)行優(yōu)先排序，以減少I(mǎi)T基礎(chǔ)設(shè)施中漏洞范圍。確保IT基礎(chǔ)設(shè)施保持更新，以幫助各種規(guī)模的企業(yè)在最大程度上控制風(fēng)險(xiǎn)。”

最后，Hansen稱(chēng)：“異地?cái)?shù)據(jù)備份很重要，這樣如果你被勒索攻擊，你還可以恢復(fù)備份，你的數(shù)據(jù)永遠(yuǎn)不會(huì)丟失。”

Guadagno稱(chēng)：“我們一次又一次看到攻擊者瞄向‘依靠計(jì)算機(jī)系統(tǒng)執(zhí)行關(guān)鍵業(yè)務(wù)功能的大型企業(yè)’，以前我們認(rèn)為備份是值得擁有的功能，而現(xiàn)在備份已經(jīng)變成必須擁有的功能。”