醫療業勒贖案外案，爆出全球320萬臺JBoss伺服器有漏洞易遭

william77

思科旗下安全研究部門Talos Group初步發現，全球有將近320萬臺JBoss伺服器也有漏洞，易遭植入後門，其中已有近1,600個IP位址的伺服器遭植入超過2,100隻後門程式。

三月底思科旗下安全研究部門Talos Group揭露一隻名為Samsam的勒贖軟體，專門鎖定醫療業JBoss伺服器發動攻擊，造成醫院界哀鴻遍野。之後該部門在客戶的協助下針對JBoss進一步全面性漏洞掃瞄，初步發現全球有將近320萬臺機器也有漏洞，暴露在恐遭駭客植入後門的高風險中。
在這次掃瞄行動中，Talos部門發現出現漏洞的JBoss伺服器之中，有將近1,600個IP位址的機器被植入超過2100隻後門程式，而為Samsam入侵敞開大門。多台受害系統安裝Follett 的圖書管理系統Destiny，主要客戶為高中小學。在經過Talos小組通報後已經將漏洞修補。
Talos研究在遭入侵的JBoss伺服器發現多個稱為Webshell的後門程式，包括mela、 shellinvoker、jbossinvoker、zecmd、cmd、genesis、sh3ll及Inovkermngrt、jbot等，顯示這些系統已遭不同組攻擊者入侵。
Talos部門指出，如果企業管理員在伺服器上發現Webshell即應高度警戒，因為這表示系統已遭入侵。惡意Webshell在入侵並安裝於網頁伺服器後，即允許駭客遠端入侵，並在未獲授權情況下存取其他系統，藉此在內部網路擴散。
US-CERT已針對Webshell發布安全公告（https://www.us-cert.gov/ncas/alerts/TA15-314A）。
Talos部門呼籲已遭入侵的主機應立刻下線，以防感染擴散。如果企業發現自家伺服器已被安裝Webshell，當務之急是切斷伺服器所有對外的存取通道，以避免持續遭遠端控制，可利用映象檔重建系統，並安裝最新版軟體。如果無法重建，則需從備份檔回覆到遭入侵前的系統環境，並將伺服器升級到沒有漏洞的版本。此外則是隨時確保升級到最新版防毒軟體。