jbossEen beveiligingslek in de JBoss Application Server wordt actief door aanvallers gebruikt om kwetsbare installaties over te nemen, zo waarschuwt beveiligingsbedrijf Imperva. Het bedrijf heeft na het openbaar worden van een exploit die misbruik van het lek maakt een toename van het aantal aanvallen gezien.

JavaBeans Open Source Software Application Server (JBoss) werd eind vorig jaar tot WildFly omgedoopt. Het is een applicatieserver die door duizenden websites wordt gebruikt. In 2011 werd er een kwetsbaarheid gedemonstreerd die misbruik van een standaardconfiguratie in de JBoss-managementinterface maakt, om aanvullende functionaliteit aan de webserver toe te voegen.

Zodra een aanvaller dit heeft gedaan kan hij een willekeurige applicatie installeren en volledige controle over de JBoss-infrastructuur krijgen én de sites die van de applicatieserver gebruik maken. In september werd er voor verschillende producten van HP die JBoss gebruiken en lek waren een CVE-nummer toegekend. HP heeft de kwetsbaarheid via een update opgelost.

Kwetsbaar

Er zijn echter nog veel meer fabrikanten die de kwetsbare software in hun eigen producten gebruiken, waaronder McAfee en Symantec. Begin oktober verscheen er een exploit die van het lek misbruik maakt. Sindsdien zag Imperva een toename van het aantal aanvallen. Inmiddels zouden meer dan 200 websites die op JBoss-servers draaien zijn gehackt. Het gaat onder andere om overheids- en universiteitssites.

JBoss 7.1.1 is de laatste versie van de software, maar veel organisaties werken vanwege compatibiliteitsredenen nog steeds met JBoss 4.x en 5.x, omdat ze oude applicaties gebruiken die voor deze versies ontwikkeld zijn. Deze organisaties krijgen het advies om de instructies voor het beveiligen van hun JBoss-installaties op te volgen.

Bron: Security.nl