image

VS waarschuwt voor aanvallen op JBoss-servers via JexBoss

vrijdag 9 november 2018, 10:10 door Redactie, 5 reacties

Het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven voor aanvallen op JBoss-applicatieservers via de JBoss Verify en EXploitation-tool (JexBoss). JexBoss is een opensourcetool die door penetratietesters en securityprofessionals wordt gebruikt voor het testen van JBoss-applicatieservers op kwetsbaarheden.

JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Javagebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. Via JexBoss is het mogelijk om naar kwetsbare JBoss/WildFly-servers te zoeken en die vervolgens te compromitteren. Op deze manier kan er worden geprobeerd om andere systemen in het netwerk aan te vallen.

In 2016 waarschuwden Cisco en de FBI al dat de aanvallers achter de SamSam-ransomware JexBoss gebruikten om organisaties binnen te dringen en systemen met ransomware te infecteren. De tool wordt zowel voor legitieme als malafide doeleinden gebruikt. In de waarschuwing van het ministerie wordt uitgelegd hoe JexBoss werkt en hoe aanvallers er gebruik van maken om de onderliggende server over te nemen.

Afsluitend worden verschillende adviezen gegeven om het risico van JexBoss tegen te gaan, zoals het up-to-date houden van besturingssystemen, webservers en applicaties, het gebruik van accounts met verminderde rechten, het beveiligen van adminconsoles, het bekijken van serverlogs op aanvallen en het testen van systemen en applicaties op kwetsbaarheden.

Reacties (5)
09-11-2018, 10:16 door -karma4
Het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven voor aanvallen op JBoss-applicatieservers via de JBoss Verify en EXploitation-tool (JexBoss). JexBoss is een opensourcetool die door penetratietesters en securityprofessionals wordt gebruikt voor het testen van JBoss-applicatieservers op kwetsbaarheden.

Goede zaak! Mooi gereedschap om de veiligheid van je JBoss-applicatieserver(s) te testen!
09-11-2018, 17:51 door karma4
Door The FOSS:
Goede zaak! Mooi gereedschap om de veiligheid van je JBoss-applicatieserver(s) te testen!
Dat open source software, opgekocht door ibm, geëvalueerd moet worden met open source software op fouten....
Er is iets goed mis in de basis dat er geen systemen uit komen die gewoon veilig zijn en goed in elkaar zitten.
09-11-2018, 23:42 door -karma4 - Bijgewerkt: 09-11-2018, 23:51
Door karma4:
Door The FOSS:
Goede zaak! Mooi gereedschap om de veiligheid van je JBoss-applicatieserver(s) te testen!
Dat open source software, opgekocht door ibm, geëvalueerd moet worden met open source software op fouten....
Er is iets goed mis in de basis dat er geen systemen uit komen die gewoon veilig zijn en goed in elkaar zitten.

Dat heb je met open systemen: men is open over de fouten die er mogelijk in zitten (in alle software zitten fouten); men kan door de openlijk beschikbare broncode grondig onderzoeken wat er mis is en het is, door het inzicht wat dit open karakter geeft, ook vaak eenvoudig om het probleem op te lossen. Dan krijg je inderdaad systemen die gewoon veilig zijn en goed in elkaar zitten. En dat kunnen aantonen met openbare broncode en verificatieinstrumenten. Bij closed source ben je aan de nukken van de leverancier overgeleverd en je hebt geen idee wat er achter de schermen allemaal gebeurt. Mooie praatjes over hun software moet je maar geloven want je kan het op geen enkele manier controleren. Pas als het allemaal in elkaar stort kom je erachter met wat voor troep je te maken hebt (klinkt dat bekend?).
11-11-2018, 12:18 door Anoniem
Het is allemaal te complex geworden vaak om goed te kunnen behappen. Hoe moet dat met zo veel pakketten en de onbekendheid hoe ze op elkaar inspelen en hoe door de developer opgeworpen beveilingsmechanismen kunnen worden omgaan (type manipulatie en nog andere methoden, die compromittatie onder bepaalde omstandigheden mogelijk maken).

De beveiliger heeft geen maanden de tijd om e.e.a. uit te vogelen, de aanvaller heeft aan een enkel klein gaatje soms voldoende. Daarnaast speelt natuurlijk "security through obscurity" mee. Vaak een kwestie van "trust" en dat wordt steeds zeldzamer tegenwoordig, zowel online als offline.

Ik kan er alleen maar over spreken vanuit mijn eigen niche (website beveiliging) en waar lopen we dan allemaal tegenop, waar de eigenaars van propriety software geen openheid van zaken over (wensen te) geven en dat toevalligerwijs maar weer eens door een security researcher vaak bij toeval moet worden gevonden. Spreken we niet over opzettelijke cybercrime. Dat staat hier in eerste instantie buiten of is een secondair gevolg vaak.

Tot overmaat van ramp zijn er dan ook nog andere derde partijen die graag onbekende onveiligheid misbruiken en op onbekende gaten blijven zitten. We kennen deze instanties wel genoegelijk sinds Sint Snowden.

Trouwens een dergelijke houding sijpelt door naar de gehele informatie voorziening, Valse beschuldiging van opzettelijk versnellen van video-beelden (het John Acosta incident), waarvan later blijkt dat het technisch aantoonbaar niet gedaan kon zijn door de beschuldigden. Genoeg onwetend publiek heeft echter het fake news als clickbait al geslikt met haak en dobber en een mening heeft zich al postgevat.

We kunnen nu wel gevoegelijk vaststellen dat aan reeds ingeslopen beeldvorming moeilijk nog iets te wijzigen valt. In zo'n geval helpt reputatie-managment al vaak veel minder. Het kwaad is immers al geschied. Een en ander zal bij excessieve server info proliferatie en problemen met server beveiliging ook wel spelen.

luntrus
12-11-2018, 20:44 door karma4
Door The FOSS:
Door karma4:
Door The FOSS:
Goede zaak! Mooi gereedschap om de veiligheid van je JBoss-applicatieserver(s) te testen!
Dat open source software, opgekocht door ibm, geëvalueerd moet worden met open source software op fouten....
Er is iets goed mis in de basis dat er geen systemen uit komen die gewoon veilig zijn en goed in elkaar zitten.

Dat heb je met open systemen: men is open over de fouten die er mogelijk in zitten (in alle software zitten fouten); men kan door de openlijk beschikbare broncode grondig onderzoeken wat er mis is en het is, door het inzicht wat dit open karakter geeft, ook vaak eenvoudig om het probleem op te lossen. Dan krijg je inderdaad systemen die gewoon veilig zijn en goed in elkaar zitten. En dat kunnen aantonen met openbare broncode en verificatieinstrumenten. Bij closed source ben je aan de nukken van de leverancier overgeleverd en je hebt geen idee wat er achter de schermen allemaal gebeurt. Mooie praatjes over hun software moet je maar geloven want je kan het op geen enkele manier controleren. Pas als het allemaal in elkaar stort kom je erachter met wat voor troep je te maken hebt (klinkt dat bekend?).

1/ Open systemen die iedereen kan controleren maar niemand echt controleert.
2/ Gesloten systemen die werkelijk doorlopen worden en gecontroleerd worden door de afnemende partij.
Het eerste leverd de onverwachte fouten oplopende kosten en niet werkende systemen. De belofte iemand anders ...
Het tweede vraagt inhoudelijke kennis van echte specialisten in huis. Je weet zeker dat je zelf verantwoordelijkheid hebt.

Klinkt het bekend waar de schoen wringt en waar het zo vaak te vaak fout gaat.
Inderdaad zo maar wat open source neerzetten omdat iedereen het doet levert de grootste troep op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.