В апреле 2010 года в свободном сервере приложений JBoss Application Server была устранена опасная уязвимость, позволяющая получить доступ к консоли JMX без авторизации и выполнить произвольный код на сервере. Спустя полтора года в сети зафиксирован червь, который поражает серверы с необновлёнными версиями JBoss, до сих пор подверженными уязвимости, или системы с незащищённым доступом к консоли JMX.

После получения управления, червь размещает на сервере компоненты, подсоединяющие поражённый хост к ботнету и позволяющие получить полное управление над сервером из любой точки сети. Создав подставной уязвимый JBoss-сервер исследователи выявили интеграцию бэкдора на языке Java, загрузку контента, связанного с совершением вредоносных действий, и установку perl-скрипта, принимающего управляющие команды через соединение к IRC-серверу, через который производится координация работы ботнета. Кроме того, на сервер устанавливается клиент для организации удалённого доступа, а также несколько скриптов для обнаружения других уязвимых серверов JBoss и для поиска уже поражённых хостов, на которые осуществлено внедрение червя.

Активность червя наблюдается как минимум последнюю неделю. Пока не ясно как много серверов скомпрометировано в результате работы червя и в чьих интересах работает созданный на его основе ботнет. Появление червя поднимает проблему недостаточного акцентирования внимания на установку обновлений в корпоративной среде. Всем пользователям JBoss Application Server рекомендуется проверить работу систем установки обновлений и убедиться в надлежащем закрытии доступа к управляющей консоли JMX.

В дополнение, можно упомянуть исследование способов распространения вредоносных программ, проведённое несколько недель назад компанией Microsoft. Исследование показало, что 3.2% всех заражений происходит через эксплуатацию уязвимостей, исправление для которых было выпущено больше года назад, 2.4% через проблемы с момента исправления которых прошло менее года и только 0.096% через неисправленные уязвимости (zero-day). Среди других способов распространения: в 44.8% случаях вредоносное ПО распространяется, требуя от пользователя выполнения определённых действий; 26% через автозапуск с USB-накопителей; 17.2% через автозапуск по сети; 4.4% через инфицирование файлов; 1.7% через подбор паролей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=32150