目前多達320萬計算機運行著未打補丁版本的JBoss中間件軟件，這意味著這些計算機很容易被用于傳播SamSam和其他勒索軟件，這也突出了一直存在的未打補丁系統(tǒng)的風險問題。在掃描包含JBoss漏洞的受感染機器后，思科Talos發(fā)現(xiàn)超過2100個后門程序被安裝在關聯(lián)近1600個IP地址的系統(tǒng)中。

Talos報告稱，未打補丁的JBoss正在被一個或多個webshell利用，webshell是可上傳到Web服務器并對該服務器進行遠程管理的腳本。該報告表明，企業(yè)需要對修復生產軟件非常警惕。

“在這個過程中，我們了解到在受影響的JBoss服務器中通常有不只一個webshell，”Talos威脅研究人員Alexander Chiu寫道，“我們看到很多不同的后門程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。這意味著很多這些系統(tǒng)已經由不同的攻擊者進行多次攻擊。”

其中受影響的企業(yè)包括學校、政府和航空企業(yè)等，有些受影響系統(tǒng)在運行Follett Destiny(這是追蹤學校圖書館資產的管理系統(tǒng)，被用在全球各地的K-12學校)。Follett已經確定了這個問題，并發(fā)布了JBoss漏洞的修復程序，并且還與Talos合作來分析攻擊者使用的webshell。

“Webshell是重大的安全問題，因為它表明攻擊者已然攻擊了該服務器，并可遠程控制它，”Chiu寫道，“并且，受影響的Web服務器可能被攻擊者利用，以在內部網絡橫向移動。”

Talos建議企業(yè)盡快修復受影響的設備，首先應該移除對外部網絡的訪問以防止攻擊者訪問該系統(tǒng)，然后重新鏡像該系統(tǒng)或者從備份中恢復，接著升級軟件版本，再重新應用到生產環(huán)節(jié)。

根據(jù)Talos表示，最重要的是確保軟件補丁及時更新。“攻擊者在選擇攻擊目標時并不會排除舊系統(tǒng)，因為這可以幫助他們賺錢，”Cylance公司安全研究人員Derek Soeder表示，“特別是對于不加選擇的攻擊者，即便易受攻擊的系統(tǒng)只有小部分暴露在互聯(lián)網中，也值得他們發(fā)動攻擊。”

根據(jù)威脅管理公司PhishMe研究人員Sean Wilson表示，Web框架特別容易受到攻擊。

“我們已經看到攻擊者使用webshell很長一段時間，通常瞄準WordPress和Joomla等Web框架，因為這些已經得到個人用戶的廣泛部署和使用，”Wilson表示，“它們有成熟的插件生態(tài)系統(tǒng)，可包含基本框架進行部署，也許不太容易受攻擊，不過多個過期的插件就可能包含可被攻擊者利用的漏洞。”

JexBoss webshell工具以及舊的JBoss漏洞

受影響的服務器中發(fā)現(xiàn)的webshell是JexBoss，這是用于測試和利用JBoss應用服務器中漏洞的開源工具。JexBoss可在GitHub找到，并具有滲透測試和審計等合法用途。Talos報告稱，JexBoss被用于傳播SamSam勒索軟件變體。傳統(tǒng)的勒索軟件攻擊是通過網絡釣魚或漏洞利用工具包來傳播，而SamSam則是在服務器上獲得立足點，然后在受害網絡中橫向傳播。

JBoss是由Red Hat Software發(fā)布的中間件，JBoss的漏洞在2010年被發(fā)現(xiàn)并修復，被命名為CVE-2010-0738。Talos報告稱這個漏洞仍然在被用于傳播SamSam勒索軟件。

專家們一致認為，大量易受攻擊的系統(tǒng)表明企業(yè)需要定期修復已安裝的軟件。

“這些補丁于多年前發(fā)布，但IT專業(yè)人員和個人通常沒有及時安裝安全補丁，”數(shù)據(jù)保護公司Carbonite公司首席傳播者Norman Guadagno表示，“在這種情況下，攻擊者發(fā)現(xiàn)攻擊教育IT系統(tǒng)的機會，但正如我們所看到的，這并不分行業(yè)。這也再次提醒我們?yōu)槭裁碔T管理員需要重新審視其安全狀態(tài)和政策。”

處理補丁問題

端點安全初創(chuàng)公司Barkly Protect首席執(zhí)行官Jack Danahy表示：“補丁管理和保持系統(tǒng)更新并不容易。系統(tǒng)和應用之間存在復雜的依存關系，這讓更新決策變得很困難。”JBoss漏洞讓攻擊者可攻擊學校，但需要更新的應用是Follett的Destiny圖書館管理系統(tǒng)。如果系統(tǒng)管理員沒有意識到Destiny依賴于JBoss，JBoss漏洞的存在可能不會讓他們意識到更新其圖書館管理系統(tǒng)的緊迫性。

在這里，修復可能是關鍵，但對于資源有限的企業(yè)來說，這并不總是容易的事情。“資源匱乏的企業(yè)在規(guī)劃項目成本時應該考慮一些未來的修復成本，”CASB網絡安全研究主管Yishai Beeri表示，“定期修復可緩解很多長期存在的漏洞利用，最起碼，應該優(yōu)先修復面向公眾的系統(tǒng)。”

“隨著時間的推移，易受攻擊系統(tǒng)的數(shù)量會越來越多，”Soeder說道，“有時候是由于疏忽，通常企業(yè)并不知道他們正在運行的所有系統(tǒng)，這有可能因為易受攻擊的軟件被嵌入到另一個產品中去。”Soeder解釋說，軟件未及時修復還有很多其他原因，包括系統(tǒng)管理員沒有意識到他們運行的軟件包含漏洞或者他們并沒有從供應商處獲得更新。

在一些情況下，管理員沒有足夠的資源來部署補丁，或者他們試圖修復補丁時，補丁并未生效;“有時候這就像在修復后忘記重啟，”Soeder稱，“攻擊者是機會主義者，而這些疏忽都是他們的機會。”

下一個未打補丁、不受支持的框架或平臺是什么?

Guadagno表示：“在很多情況下，這些攻擊者并沒有重新發(fā)明攻擊方法;他們只是利用已知的漏洞而已。”

攻擊者可能會繼續(xù)瞄準那些未打補丁的含有易受攻擊插件的服務器，Wilson稱：“我們可能會看到勒索軟件擴散到這些服務中去，且作為繼電器或者端點來加載惡意軟件的載體。企業(yè)門戶網站或其他企業(yè)端點是服務器端勒索軟件的目標，因為這里的影響會比個人用戶博客大得多。再加上現(xiàn)有的漏洞利用，攻擊者可從中獲得豐厚的利潤。”

“現(xiàn)在仍有數(shù)百個廣泛使用的框架包含可利用且還沒有修復的漏洞，例如OpenSSL、Tomcat、Java，”安全測試供應商Bugcrowd研究員及業(yè)務高級總監(jiān)Kymberlee Price表示，“這些庫可能被用于網絡中多個獨特的應用里，這需要IT人員重復修復相同的底層漏洞。”

Guadagno表示：“我們知道，沒有得到正確架構或維護的系統(tǒng)通常是最危險的系統(tǒng)，目前最危險的平臺是Windows XP，它已經不再受支持，但仍有2.5億人在使用它。此外，Microsoft Server 2003也即將終止支持，這些都可能成為勒索軟件的首要目標。”

如何防止更多漏洞?

“如果你還沒有為保護環(huán)境和數(shù)據(jù)進行投資，之后你可能會付出代價，”Price稱，“對于使用第三方庫的開發(fā)人員，部署B(yǎng)lackDuck等代碼掃描工具可幫助保持安全性。”

Price還建議結合代碼掃描的結果與威脅情報信息來修復最高風險問題;自動化還可幫助提高員工效率。還有很多其他方法，包括通過高級網絡監(jiān)控掃描需要更新的軟件、部署網絡訪問控制以及入侵檢測解決方案，還有在單個系統(tǒng)使用殺毒軟件和惡意軟件清除程序等。

“如果你找不到某個產品的任何安全公告，請警惕，因為這可能意味著沒有人在測試該產品的安全性，或者供應商的安全流程不成熟或不存在。他們應該有全面的流程來通知客戶安全問題的存在，他們還應該免費提供安全補丁，即便主流支持已經終止。如果可能的話，你可考慮轉移到基于云的系統(tǒng)，由云計算提供商來處理安全問題，減輕你的負擔。”

“補丁管理已經不再只是在周二安裝操作系統(tǒng)時更新，”Danahy稱，“企業(yè)的被攻擊面已經擴大到涉及數(shù)百個軟件包，隨著不斷添加新的功能和產品，企業(yè)在為未來的預算和規(guī)劃中需要考慮這些新增部分的更新成本。”

“預防是最好的良藥，”戴爾最終用戶計算執(zhí)行主管Brett Hansen稱，企業(yè)可通過內部IT人才或有限預算做很多工作，最大限度地發(fā)揮其資源，企業(yè)還需要優(yōu)先排序安全工作，“每個企業(yè)都需要對軟件維護工作以及補丁安裝進行優(yōu)先排序，以減少IT基礎設施中漏洞范圍。確保IT基礎設施保持更新，以幫助各種規(guī)模的企業(yè)在最大程度上控制風險。”

最后，Hansen稱：“異地數(shù)據(jù)備份很重要，這樣如果你被勒索攻擊，你還可以恢復備份，你的數(shù)據(jù)永遠不會丟失。”

Guadagno稱：“我們一次又一次看到攻擊者瞄向‘依靠計算機系統(tǒng)執(zhí)行關鍵業(yè)務功能的大型企業(yè)’，以前我們認為備份是值得擁有的功能，而現(xiàn)在備份已經變成必須擁有的功能。”