image

Java HTTP-servers doelwit backdoor

zaterdag 29 december 2012, 16:56 door Redactie, 3 reacties

Onderzoekers hebben nieuwe malware ontdekt die op Apache Tomcat of Java-gebaseerde HTTP-servers een backdoor opent. Het Japanse beveiligingsbedrijf Trend Micro liep onlangs tegen een Java Serverpagina aan die backdoor-functies uitvoerde en volledige controle over de kwetsbare server had. De aanval vereist de aanwezigheid van een Java Servlet container (zoals Apache Tomcat), of een Java-gebaseerde HTTP-server.

Door het gebruikte wachtwoord van de Tomcat Web Application Manager.te raden of te kraken kunnen de aanvallers de Web application archive (WAR) bestanden met de backdoor op de server plaatsen. De backdoor wordt automatisch aan toegankelijke Java Serverpagina's toegevoegd.

Backdoor
Via de backdoor is het mogelijk om bestanden op de server te wijzigen, verwijderen of te uploaden. Naast het verkrijgen van gevoelige informatie, kan een aanvaller via de backdoor ook andere kwaadaardige opdrachten aan de server geven, aldus het anti-virusbedrijf.

Systeembeheerders krijgen het advies beveiligingsupdates te installeren en geen onbekende websites te bezoeken. Een opmerkelijk advies, aangezien drive-by download-aanvallen, waardoor aanvallers bijvoorbeeld inloggegevens kunnen verkrijgen, ook op populaire websites voorkomen. Als laatste adviseert Trend Micro het gebruik van sterke wachtwoorden.

Reacties (3)
30-12-2012, 13:06 door Anoniem
Door het raden of kraken van een wachtwoord is het toch altijd al mogelijk om bestanden met wat voor code dan ook te plaatsen?
30-12-2012, 20:52 door Anoniem
Zoals ik lees op de Tomcat (6) howto voor de web app manager is deze bij default disabled. En als je hem toch nodig hebt kun je via settings de toegang alleen openstellen voor een vertrouwd IP adres. Dat deze servers gehackt worden lijkt me eerder een kwestie van slordige systeembeheerders.
31-12-2012, 09:23 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.