Début octobre, le chercheur en sécurité Andrea Micalizzi a publié un Exploit pour une vulnérabilité Jboss qu'il a identifiée dans les produits de divers fournisseurs dont Hewlett-Packard, McAfee, Symantec et IBM qui utilisent des versions 4.x et 5.x de JBoss. Cette vulnérabilité, identifiée CVE- 2013-4810, permet à des attaquants non authentifiés d'installer une application arbitraire sur les déploiements JBoss qui rendent les classes Java EJBInvokerServlet ou JMXInvokerServlet vulnérables. L'exploit du chercheur permet d'installer une application web Shell du nom de pwn.jsp qui peut être utilisée pour exécuter des commandes Shell sur le système d'exploitation via des requêtes HTTP. Les commandes sont exécutées avec les privilèges de l'OS utilisateur exécutant JBoss. Dans le cas de certains déploiements JBoss, ces privilèges peuvent être ceux d'un administrateur ayant des droits de premier rang. Des chercheurs de l'entreprise de sécurité Imperva ont récemment détecté une augmentation des attaques contre les serveurs JBoss menées avec l'Exploit d'Andrea Micalizzi pour installer le Shell pwn.jsp original, mais aussi un web Shell plus complexe du nom de JspSpy.

 7 300 serveurs vulnérables

« Plus de 200 sites tournant sur des serveurs JBoss, dont certains appartiennent à des organismes gouvernementaux et à des universités, ont été piratés et infectés par ces applications web Shell », a déclaré Barry Shteiman, directeur de la stratégie en matière de sécurité chez Imperva. Le problème est même plus grave, car la vulnérabilité décrite par Andrea Micalizzi découle de configurations non sécurisées par défaut qui exposent les interfaces d'administration et les Invokers JBoss à des attaques ne demandant pas d'authentification, une faille connue depuis plusieurs années. En 2011, les chercheurs en sécurité de Matasano Security avaient détaillé les multiples façons d'attaquer les installations JBoss non sécurisées. A l'époque, après une recherche de certaines chaînes de code sur Google, ils avaient estimé qu'environ 7 300 serveurs étaient potentiellement vulnérables.

Selon Barry Shteiman, le nombre de serveurs JBoss dont les interfaces d'administration sont exposées à Internet a plus que triplé depuis : aujourd'hui, il serait de plus de 23 000. « Une des raisons de cette augmentation tient probablement au fait que les gens n'ont pas parfaitement compris les risques liés à ce problème au moment où il en a été question dans le passé et ils continuent à déployer des installations JBoss non sécurisées », a expliqué le directeur de la stratégie en matière de sécurité chez Imperva. De plus, certains fournisseurs livrent leurs produits avec des configurations JBoss précaires, comme c'est le cas de ces produits non protégés contre l'exploit d'Andrea Micalizzi », a-t-il ajouté. Parmi ces produits vulnérables au CVE-2013-4810 il y a notamment web Reporter 5.2.1 de McAfee, les versions 3.20 et 4.0 de ProCurve Manager (PCM), les versions 3.20 et 4.0 de ProCurve Manager+ (PCM+) et la version 4.0 d'Identity Driven Manager (IDM) d'HP, la version 7.5.0.493 de Workspace Streaming de Symantec et TRIRIGA d'IBM. Des produits d'autres fournisseurs non encore identifiés pourraient aussi être exposés.

JBoss est développé par Red Hat. Le produit a été récemment renommé WildFly. La dernière version stable de WildFly est la 7.1.1, mais selon Barry Shteiman, de nombreuses entreprises utilisent encore les versions 4.x et 5.x de JBoss pour des raisons de compatibilité, car ils ont besoin de faire tourner d'anciennes applications développées pour ces versions de JBoss.