Les chercheurs en sécurité de l'éditeur de solutions antivirus Trend Micro ont découvert un malware backdoor qui infecte les serveurs HTTP en Java. Celui-ci permet aux pirates d'exécuter des commandes malveillantes sur les systèmes sous-jacents. La menace, connue sous le nom de BKDR_JAVAWAR.JG, se présente sous forme de fichier JavaServer Pages (JSP), un type de page web qui ne peut être déployée et servie que par un serveur web spécialisé avec un conteneur de servlets Java, comme les serveurs Apache Tomcat.

Une fois que la page est déployée, l'attaquant peut y accéder à distance et utiliser ses fonctions pour naviguer, télécharger, éditer, supprimer, télécharger ou copier des fichiers dans le système infecté via une console Web. C'est l'équivalent de ce que l'on peut faire avec des web Shell PHP, des scripts le plus souvent développés en PHP qui permettent d'interagir via HTTP avec le système. « En plus d'avoir accès à des informations sensibles, l'attaquant prend le contrôle du système infecté à travers la porte dérobée et peut effectuer d'autres actions malveillantes sur le serveur compromis », comme l'ont expliqué les chercheurs de Trend Micro dans un blog. Le backdoor JSP peut être installé par d'autres logiciels malveillants tournant déjà sur le système qui héberge le serveur HTTP en Java et le conteneur de servlet Java ou peut être téléchargé pendant la navigation sur des sites malveillants depuis le système.

Les serveurs Apache Tomcat ciblés

Selon les notes techniques de Trend Micro, le malware cible les systèmes tournant sous Windows 2000, Windows Server 2003, Windows XP, Windows Vista et Windows 7. « Un autre scénario d'attaque possible, c'est celui d'un pirate qui chercherait des sites tournant sous Apache Tomcat et essaierait d'accéder ensuite à l'application Web Tomcat Manager », ont ajouté les chercheurs de Trend Micro. « En utilisant un outil pour casser le mot de passe, les cybercriminels peuvent se connecter et avoir les droits de gestion/administration pour déployer sur le serveur des fichiers WAR (Web Applications ARchive) empaquetés avec le malware backdoor ».

Les chercheurs de Trend Micro conseillent aux administrateurs qui veulent protéger leurs serveurs contre ces menaces d'utiliser des mots de passe forts difficiles à casser avec des outils de force brute, de déployer toutes les mises à jour de sécurité disponibles pour leurs systèmes et leurs logiciels et d'éviter de naviguer sur des sites web inconnus et non fiables.