目前多達(dá)320萬計(jì)算機(jī)運(yùn)行著未打補(bǔ)丁版本的JBoss中間件軟件，這意味著這些計(jì)算機(jī)很容易被用于傳播SamSam和其他勒索軟件，這也突出了一直存在的未打補(bǔ)丁系統(tǒng)的風(fēng)險(xiǎn)問題。在掃描包含JBoss漏洞的受感染機(jī)器后，思科Talos發(fā)現(xiàn)超過2100個(gè)后門程序被安裝在關(guān)聯(lián)近1600個(gè)IP地址的系統(tǒng)中。

Talos報(bào)告稱，未打補(bǔ)丁的JBoss正在被一個(gè)或多個(gè)webshell利用，webshell是可上傳到Web服務(wù)器并對該服務(wù)器進(jìn)行遠(yuǎn)程管理的腳本。該報(bào)告表明，企業(yè)需要對修復(fù)生產(chǎn)軟件非常警惕。

“在這個(gè)過程中，我們了解到在受影響的JBoss服務(wù)器中通常有不只一個(gè)webshell，”Talos威脅研究人員Alexander Chiu寫道，“我們看到很多不同的后門程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。這意味著很多這些系統(tǒng)已經(jīng)由不同的攻擊者進(jìn)行多次攻擊。”

其中受影響的企業(yè)包括學(xué)校、政府和航空企業(yè)等，有些受影響系統(tǒng)在運(yùn)行Follett Destiny(這是追蹤學(xué)校圖書館資產(chǎn)的管理系統(tǒng)，被用在全球各地的K-12學(xué)校)。Follett已經(jīng)確定了這個(gè)問題，并發(fā)布了JBoss漏洞的修復(fù)程序，并且還與Talos合作來分析攻擊者使用的webshell。

“Webshell是重大的安全問題，因?yàn)樗砻鞴粽咭讶还袅嗽摲?wù)器，并可遠(yuǎn)程控制它，”Chiu寫道，“并且，受影響的Web服務(wù)器可能被攻擊者利用，以在內(nèi)部網(wǎng)絡(luò)橫向移動。”

Talos建議企業(yè)盡快修復(fù)受影響的設(shè)備，首先應(yīng)該移除對外部網(wǎng)絡(luò)的訪問以防止攻擊者訪問該系統(tǒng)，然后重新鏡像該系統(tǒng)或者從備份中恢復(fù)，接著升級軟件版本，再重新應(yīng)用到生產(chǎn)環(huán)節(jié)。

根據(jù)Talos表示，最重要的是確保軟件補(bǔ)丁及時(shí)更新。“攻擊者在選擇攻擊目標(biāo)時(shí)并不會排除舊系統(tǒng)，因?yàn)檫@可以幫助他們賺錢，”Cylance公司安全研究人員Derek Soeder表示，“特別是對于不加選擇的攻擊者，即便易受攻擊的系統(tǒng)只有小部分暴露在互聯(lián)網(wǎng)中，也值得他們發(fā)動攻擊。”

根據(jù)威脅管理公司PhishMe研究人員Sean Wilson表示，Web框架特別容易受到攻擊。

“我們已經(jīng)看到攻擊者使用webshell很長一段時(shí)間，通常瞄準(zhǔn)WordPress和Joomla等Web框架，因?yàn)檫@些已經(jīng)得到個(gè)人用戶的廣泛部署和使用，”Wilson表示，“它們有成熟的插件生態(tài)系統(tǒng)，可包含基本框架進(jìn)行部署，也許不太容易受攻擊，不過多個(gè)過期的插件就可能包含可被攻擊者利用的漏洞。”

JexBoss webshell工具以及舊的JBoss漏洞

受影響的服務(wù)器中發(fā)現(xiàn)的webshell是JexBoss，這是用于測試和利用JBoss應(yīng)用服務(wù)器中漏洞的開源工具。JexBoss可在GitHub找到，并具有滲透測試和審計(jì)等合法用途。Talos報(bào)告稱，JexBoss被用于傳播SamSam勒索軟件變體。傳統(tǒng)的勒索軟件攻擊是通過網(wǎng)絡(luò)釣魚或漏洞利用工具包來傳播，而SamSam則是在服務(wù)器上獲得立足點(diǎn)，然后在受害網(wǎng)絡(luò)中橫向傳播。

JBoss是由Red Hat Software發(fā)布的中間件，JBoss的漏洞在2010年被發(fā)現(xiàn)并修復(fù)，被命名為CVE-2010-0738。Talos報(bào)告稱這個(gè)漏洞仍然在被用于傳播SamSam勒索軟件。

專家們一致認(rèn)為，大量易受攻擊的系統(tǒng)表明企業(yè)需要定期修復(fù)已安裝的軟件。

“這些補(bǔ)丁于多年前發(fā)布，但I(xiàn)T專業(yè)人員和個(gè)人通常沒有及時(shí)安裝安全補(bǔ)丁，”數(shù)據(jù)保護(hù)公司Carbonite公司首席傳播者Norman Guadagno表示，“在這種情況下，攻擊者發(fā)現(xiàn)攻擊教育IT系統(tǒng)的機(jī)會，但正如我們所看到的，這并不分行業(yè)。這也再次提醒我們?yōu)槭裁碔T管理員需要重新審視其安全狀態(tài)和政策。”

處理補(bǔ)丁問題

端點(diǎn)安全初創(chuàng)公司Barkly Protect首席執(zhí)行官Jack Danahy表示：“補(bǔ)丁管理和保持系統(tǒng)更新并不容易。系統(tǒng)和應(yīng)用之間存在復(fù)雜的依存關(guān)系，這讓更新決策變得很困難。”JBoss漏洞讓攻擊者可攻擊學(xué)校，但需要更新的應(yīng)用是Follett的Destiny圖書館管理系統(tǒng)。如果系統(tǒng)管理員沒有意識到Destiny依賴于JBoss，JBoss漏洞的存在可能不會讓他們意識到更新其圖書館管理系統(tǒng)的緊迫性。

在這里，修復(fù)可能是關(guān)鍵，但對于資源有限的企業(yè)來說，這并不總是容易的事情。“資源匱乏的企業(yè)在規(guī)劃項(xiàng)目成本時(shí)應(yīng)該考慮一些未來的修復(fù)成本，”CASB網(wǎng)絡(luò)安全研究主管Yishai Beeri表示，“定期修復(fù)可緩解很多長期存在的漏洞利用，最起碼，應(yīng)該優(yōu)先修復(fù)面向公眾的系統(tǒng)。”

“隨著時(shí)間的推移，易受攻擊系統(tǒng)的數(shù)量會越來越多，”Soeder說道，“有時(shí)候是由于疏忽，通常企業(yè)并不知道他們正在運(yùn)行的所有系統(tǒng)，這有可能因?yàn)橐资芄舻能浖磺度氲搅硪粋€(gè)產(chǎn)品中去。”Soeder解釋說，軟件未及時(shí)修復(fù)還有很多其他原因，包括系統(tǒng)管理員沒有意識到他們運(yùn)行的軟件包含漏洞或者他們并沒有從供應(yīng)商處獲得更新。

在一些情況下，管理員沒有足夠的資源來部署補(bǔ)丁，或者他們試圖修復(fù)補(bǔ)丁時(shí)，補(bǔ)丁并未生效;“有時(shí)候這就像在修復(fù)后忘記重啟，”Soeder稱，“攻擊者是機(jī)會主義者，而這些疏忽都是他們的機(jī)會。”

下一個(gè)未打補(bǔ)丁、不受支持的框架或平臺是什么?

Guadagno表示：“在很多情況下，這些攻擊者并沒有重新發(fā)明攻擊方法;他們只是利用已知的漏洞而已。”

攻擊者可能會繼續(xù)瞄準(zhǔn)那些未打補(bǔ)丁的含有易受攻擊插件的服務(wù)器，Wilson稱：“我們可能會看到勒索軟件擴(kuò)散到這些服務(wù)中去，且作為繼電器或者端點(diǎn)來加載惡意軟件的載體。企業(yè)門戶網(wǎng)站或其他企業(yè)端點(diǎn)是服務(wù)器端勒索軟件的目標(biāo)，因?yàn)檫@里的影響會比個(gè)人用戶博客大得多。再加上現(xiàn)有的漏洞利用，攻擊者可從中獲得豐厚的利潤。”

“現(xiàn)在仍有數(shù)百個(gè)廣泛使用的框架包含可利用且還沒有修復(fù)的漏洞，例如OpenSSL、Tomcat、Java，”安全測試供應(yīng)商Bugcrowd研究員及業(yè)務(wù)高級總監(jiān)Kymberlee Price表示，“這些庫可能被用于網(wǎng)絡(luò)中多個(gè)獨(dú)特的應(yīng)用里，這需要IT人員重復(fù)修復(fù)相同的底層漏洞。”

Guadagno表示：“我們知道，沒有得到正確架構(gòu)或維護(hù)的系統(tǒng)通常是最危險(xiǎn)的系統(tǒng)，目前最危險(xiǎn)的平臺是Windows XP，它已經(jīng)不再受支持，但仍有2.5億人在使用它。此外，Microsoft Server 2003也即將終止支持，這些都可能成為勒索軟件的首要目標(biāo)。”

如何防止更多漏洞?

“如果你還沒有為保護(hù)環(huán)境和數(shù)據(jù)進(jìn)行投資，之后你可能會付出代價(jià)，”Price稱，“對于使用第三方庫的開發(fā)人員，部署B(yǎng)lackDuck等代碼掃描工具可幫助保持安全性。”

Price還建議結(jié)合代碼掃描的結(jié)果與威脅情報(bào)信息來修復(fù)最高風(fēng)險(xiǎn)問題;自動化還可幫助提高員工效率。還有很多其他方法，包括通過高級網(wǎng)絡(luò)監(jiān)控掃描需要更新的軟件、部署網(wǎng)絡(luò)訪問控制以及入侵檢測解決方案，還有在單個(gè)系統(tǒng)使用殺毒軟件和惡意軟件清除程序等。

“如果你找不到某個(gè)產(chǎn)品的任何安全公告，請警惕，因?yàn)檫@可能意味著沒有人在測試該產(chǎn)品的安全性，或者供應(yīng)商的安全流程不成熟或不存在。他們應(yīng)該有全面的流程來通知客戶安全問題的存在，他們還應(yīng)該免費(fèi)提供安全補(bǔ)丁，即便主流支持已經(jīng)終止。如果可能的話，你可考慮轉(zhuǎn)移到基于云的系統(tǒng)，由云計(jì)算提供商來處理安全問題，減輕你的負(fù)擔(dān)。”

“補(bǔ)丁管理已經(jīng)不再只是在周二安裝操作系統(tǒng)時(shí)更新，”Danahy稱，“企業(yè)的被攻擊面已經(jīng)擴(kuò)大到涉及數(shù)百個(gè)軟件包，隨著不斷添加新的功能和產(chǎn)品，企業(yè)在為未來的預(yù)算和規(guī)劃中需要考慮這些新增部分的更新成本。”

“預(yù)防是最好的良藥，”戴爾最終用戶計(jì)算執(zhí)行主管Brett Hansen稱，企業(yè)可通過內(nèi)部IT人才或有限預(yù)算做很多工作，最大限度地發(fā)揮其資源，企業(yè)還需要優(yōu)先排序安全工作，“每個(gè)企業(yè)都需要對軟件維護(hù)工作以及補(bǔ)丁安裝進(jìn)行優(yōu)先排序，以減少IT基礎(chǔ)設(shè)施中漏洞范圍。確保IT基礎(chǔ)設(shè)施保持更新，以幫助各種規(guī)模的企業(yè)在最大程度上控制風(fēng)險(xiǎn)。”

最后，Hansen稱：“異地?cái)?shù)據(jù)備份很重要，這樣如果你被勒索攻擊，你還可以恢復(fù)備份，你的數(shù)據(jù)永遠(yuǎn)不會丟失。”

Guadagno稱：“我們一次又一次看到攻擊者瞄向‘依靠計(jì)算機(jī)系統(tǒng)執(zhí)行關(guān)鍵業(yè)務(wù)功能的大型企業(yè)’，以前我們認(rèn)為備份是值得擁有的功能，而現(xiàn)在備份已經(jīng)變成必須擁有的功能。”