Imperva warnt vor Sicherheitslücke im JBoss Application Server

Der JBoss Application Server (JBoss AS) ist ein Open-Source Application Server, der auf Java EE basiert. JBoss AS wurde von JBoss entwickelt, die jetzt zu Red Hat gehören. Ende 2012 wurde JBoss in WildFly umbenannt.

Bereits vor kurzem hat Imperva einen signifikanten Anstieg von Zugriffen auf Web Server durch Sicherheitslücken festgestellt, die JBoss AS nutzen. Dies ist sehr wahrscheinlich darauf zurück zu führen, dass der Expoit Code, der diese Schwachstelle ausnutzt, veröffentlicht wurde.

Die Sicherheitslücke erlaubt es dem Angreifer das Management Interface des JBoss AS für seine Zwecke zu missbrauchen, mit dem Ziel, die vollständige Kontrolle über die gesamte JBoss Infrastruktur zur erlangen. Schlussendlich kann er damit dann die ganze Website kontrollieren, die auf dem Application Server gehosted wird.

Die Schwachstelle selbst ist nicht neu, sondern schon seit mindestens zwei Jahren bekannt. Daher ist es erstaunlich, dass die Angriffsfläche über die Jahre nicht nach und nach zerfallen ist. Im Gegenteil: Sie ist gewachsen – in Bezug auf die gefährdeten Web Applikationen.

Die Zeitliche Abfolge im Detail
2011 wurde eine JBoss AS-Schwachstelle im Rahmen von Sicherheitskonferenzen präsentiert. Forscher haben damals gezeigt, dass JBoss AS anfällig ist für Remote Command Execution durch den „HTTP Invoker“ Service, der Remote Method Invocation/ HTTP access to Enterprose Java Beans ermöglicht.

Im September 2013 hat das US-amerikanische National Institute of Standards and Technology auf eine Code Execution Schwachstellen in bestimmten HP Produkten hingewiesen, die JBoss AS nutzen. Dies wurde in der offiziellen Common Vulnerabilty Enumeration (CVE-2013-4810) festgehalten, einer Spezifikation, die dabei hilft, Ursachen für Software-Sicherheitslücken zu finden.

Am 4 Oktober 2013 hat dann ein Sicherheitsforscher den Exploit öffentlich zur Verfügung gestellt. Unmittelbar danach konnte Imperva einen starken Anstieg and JBoss Hacks feststellen. Diese machten sich vor allem durch schädlichen Traffic bemerkbar, der von den infizierten Servern stammte.

Weitere Informationen sowie eine technische Analyse des Exploits finden sie im vollständigen Blogbeitrag von Imperva: http://blog.imperva.com/2013/11/threat-advisory-a-jboss-as-exploit-web-shell-code-injection.html