Антивирусная компания Trend Micro сегодня сообщила об обнаружении нового вредоносного программного обеспечения класса бэкдор, направленного на инфицирование HTTP-серверов, реализованных для работы с Java. Код позволяет атакующим выполнять вредоносные команды, направленные на системы, в которых работает сервер. Угроза, известная как BKDR_JAVAWAR.JG, реализована в виде JSP (Java Server Page), что изначально позволяет запускать вредоносный код на Java-сервере, а также напрямую обращаться к контейнерам Java-серверов, таким как Apache Tomcat.
После того, как атакующий код запущен, потенциальный атакующий может удаленно получать доступ к серверу, просматривать файлы на нем, редактировать их, скачивать или уничтожать через обыкновенную веб-консоль. Нечто похожее ранее появлялось для PHP, однако PHP-бэкдоры не могли работать с чем-либо кроме PHP интерпретатора.
"Помимо того, что атакующий может получить доступ к закрытой информации, он также может инфицировать сервер другими вредоносными кодами и получать несанкционированный доступ к другим данным", - говорят в Trend Micro.
JSP-бэкдор может быть установлен через иное вредоносное ПО, уже присутствующее на сервере, причем в ряде случаев через другое вредоносное ПО можно будет установить и сам Java-сервер, на котором разместится бэкдор. Согласно данным Trend Micro, вредоносный код работает под системы Windows 2000, Windows Server 2003, Windows XP, Windows Vista и Windows 7.
"Другим возможным сценарием атаки является поиск серверов с установленным Apache Tomcat и последующие попытки получения доступа к Tomcat Application Manager. При помощи программ для взлома паролей можно войти на сервер со слабым административным паролем и развернуть вредоносный код через WAR (Web application archive)", - говорят в Trend Micro.
Источник: CyberSecurity
|
