ランサムウェアSamsam(Samas)による攻撃とJBossの脆弱性(CVE-2010-0738)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
米国時間の4月18日、Threatpostに掲載された記事「3.2 Million Servers Vulnerable to JBoss Attack」によると、先月から猛威を振るっているランサムウェア「Samsam(Samas)」の攻撃でJBOSSの脆弱性が使われている形跡があるとCisco Talosが報告しています。
今回は、このJBOSSの脆弱性に関連するSamsamの情報をまとめます。
関連するCVE
CVE-2010-0738
Priority
Critical
Samsam(Samas)について
Samsam(Samas)は、昨年からセキュリティ上の脅威として取り上げられるようになって来ているランサムウェア(ユーザーのデータを「人質」にとり、データの回復のために「身代金」(ransom)を要求するソフトウェア)の一種です。例えば、ユーザデータを勝手に暗号化して、金銭と引き換えに復号すると脅迫したり、ユーザのデータをランダムに少しずつ削除していき、削除をやめる代わりに金銭を要求するなどといったものになります。
このSamsamの特徴は、トレンドマイクロ社のサイトに詳しく記載されていますが
バックアップを探しだして破壊する
LAN内での拡散活動を行う
となっています。
JexBossについて
今回のCisco Talosの報告によると、このSamsamでは攻撃者はJexBoss(JBoss Application Server の開発/テスト用フレームワーク)を使って、CVE-2010-0738の脆弱性を足がかりにして攻撃を行っているようです。ひとたびネットワークにアクセスできれば、攻撃者はSamSamを使用して複数のWindowsシステムに対して暗号化を行います。
対処方法
Red Hatでは、「Is my JBoss / EAP Server Vulnerable to Samas Ransomware? 」といったURLを用意して、対処方法を案内しています。これによると Red Hat JBoss Enterpriseのリリースバージョンを、少なくとも下記のもの以上にしておけば、踏み台には使われないようです。
Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03
また、JBOSS インスタンスがJexJBossの脆弱性を持っているかをテストする方法も、Red Hatのサイトで紹介しています。
対処方法
JBossのバージョンを上述のバージョン以上にアップデートして下さい。
バージョンアップ中にもサービスを継続して提供したい場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
3.2 Million Servers Vulnerable to JBoss Attack
SamSam: The Doctor Will See You, After He Pays The Ransom
FBI wants U.S. businesses to help as cyber extortion gains urgency
Is my JBoss / EAP Server Vulnerable to Samas Ransomware?
凶悪化するランサムウェア:遠隔でLAN内拡散、バックアップも破壊する「SAMAS」
医療機関を狙ってPC内のデータを人質に取り身代金を要求するランサムウェア「SamSam」の被害が拡大していることが判明
6/15に「OSSセキュリティナイター vol.1」と題して、セキュリティのセミナーを行います。この回では「急増するランサムウェア その脅威とOSSの対策」として、ランサムウェアのリスクとOSSでの対策方法などをお話します。
また、LinuxFoundationでのセキュリティに対する取り組みや、Rapid7(株)による脆弱性リスク管理も併せてご紹介します。
mkt-i.actonservice.com/acton/fs/blocks/showLandingPage/a/15078/p/p-0035/t/page/fm/0がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。