超过300万台服务器成为勒索软件的潜在攻击目标

蓝天二号

因为一种较老的并且非常容易被利用的漏洞，使得320台服务器成为网络攻击的潜在目标。本月初，思科发布了一则警告，声称有超过300万台服务器遭受Jboss漏洞的影响，其中很多服务器已经被植入后门。



Jboss（现在更名为WildFly）是Red Hat打造的一款中间件软件，包括企业级软件，用于创建和整合应用、数据和设备，实现企业流程自动化。这种漏洞已经有五年的历史了（所以真的是很旧的漏洞），而且针对这种漏洞的补丁早在2010年就已经发布。Red Hat自那时起，就对Jboss重新进行了命名。

但是，由于企业“IT更新缓慢”，尤其是大型企业都存在这一通病，使得这种古老的包含漏洞的JBoss版本在企业中还是很常见。原因是有一些定制应用基于这些版本的JBoss。

被称为“SamSam”的大规模勒索软件攻击行动中，攻击者就使用了这种古老的漏洞。同其它攻击不同，SamSam攻击行动专门针对服务器进行攻击。截止到三月底，我们发现这种攻击的主要受害者是医院。但之后我们也发现，攻击者使用这种漏洞在大量学校（主要是美国的学校）植入了后门。

根据Threatpost，遭受攻击最严重的为使用Folett开发的被称为Destiny的图书馆管理软件的K-12学校。

攻击者使用一种专门针对JBoss漏洞的被称为Jexboss的漏洞利用工具入侵服务器。根据思科Talos研究人员，JBoss漏洞可用来在服务器中植入webshells和后门程序，包括“mela”、“shellinvoker”、“jbossinvoker”和“jbot”等，这表示服务器很可能被多次感染和入侵。

针对服务器的勒索软件是一种让人担忧的最新发展情况。这种攻击同普通的针对端点的攻击不同，因为普通的勒索软件攻击至少需要轻信的用户进行配合。而针对服务器的勒索软件攻击则不需要。攻击者有机会在不被发现的情况下入侵系统，其对受感染的企业的内部基础设施所造成的危害更为深远。

SamSam攻击者能够成功识别受感染系统中的关键数据，并将这些数据加密，这样成功获取到赎金的几率更高。

医院之所以成为攻击目标，是因为通常人们都认为，医院的网络安全措施不达标，通常依赖过时的技术（Securelist最近发表了一篇关于医院安全的调查文章，调查结果并不让人乐观）。


但是，医疗结构和学校并非这类攻击的唯一目标，我们肯定会发现有更多的企业或组织遭遇攻击。毕竟，320万台存在漏洞的服务器是一个可怕的数字。

关于JBoss漏洞的标识请参见本链接其中还包含相应的漏洞补丁。Follett公司也发布了关于Destiny的安全问题建议，如下：

检查可疑的服务器上是否安装了webshell（可能有多个）。
如果有，应当尽快中断服务器的外部访问。
Follett建议，如果需要的话，重新做一个系统镜像，并在新系统中安装更新版本的软件。
如果不需要重新镜像系统，最好的办法是恢复系统到受感染之前的状态，之后升级服务器到不包含安全漏洞的版本，之后才可以投入使用。
Destiny用户会自动收到更新；正确安装补丁，会清除所有的后门shell。