Exploit Code für JBoss alias Wildfly macht die Runde

Application Server wird vermehrt attackiert

| Redakteur: Stephan Augsten

Imperva hat infizierten Web-Traffic untersucht und hat die Schadcode-Schleudern ausfindig gemacht.
Imperva hat infizierten Web-Traffic untersucht und hat die Schadcode-Schleudern ausfindig gemacht. (Bild: Archiv)

Seit nunmehr zwei Jahren ist eine Sicherheitslücke im JBoss bzw. WildFly Application Server bekannt. Nun meldet Imperva, dass offenbar ein passender Exploit Code veröffentlicht wurde. Infolgedessen habe der der Sicherheitsanbieter einen bemerkenswerten Anstieg von unerlaubten Zugriffen auf Webserver festgestellt.

Der JBoss Application Server (JBoss AS) ist ein quelloffener Application Server, der auf Java EE basiert. Der Entwickler JBoss gehört mittlerweile zu Red Hat, Ende 2012 wurde JBoss AS in WildFly Application Server umbenannt. Eine Sicherheitslücke erlaubt es, über die Management-Schnittstelle die vollständige Kontrolle über die gesamte JBoss-Infrastruktur zur erlangen.

Ein Angreifer kann bei einem erfolgreichen Angriff die ganze Website kontrollieren, die auf dem Application Server gehosted wird. Die Schwachstelle selbst ist nicht neu, sondern schon seit mindestens zwei Jahren bekannt. Über die Jahre ist die Angriffsfläche nach und nach gewachsen – in Bezug auf die gefährdeten Web-Applikationen.

2011 wurde eine JBoss-AS-Schwachstelle im Rahmen von Sicherheitskonferenzen präsentiert. Forscher hatten damals gezeigt, dass JBoss AS anfällig für eine Remote Command Execution ist. Im September 2013 wies das US-amerikanische NIST (National Institute of Standards and Technology) auf eine Code-Execution-Schwachstellen in bestimmten HP-Produkten hin, die JBoss AS nutzen.

Dies wurde in der offiziellen Common Vulnerabilty Enumeration (CVE-2013-4810) festgehalten – einer Spezifikation, die dabei hilft, Ursachen für Software-Sicherheitslücken zu finden. Am 4. Oktober 2013 stellte ein Sicherheitsforscher den Exploit öffentlich zur Verfügung. Unmittelbar danach verzeichnete Imperva einen starken Anstieg an JBoss-Hacks. Diese machten sich vor allem durch schädlichen Traffic bemerkbar, der von den infizierten Servern stammte.

Weitere Informationen sowie eine technische Analyse des JBoss-Exploits finden sich im vollständigen Blog-Eintrag von Imperva.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42429066 / Server)