26. 11. 2013

Apache Tomcat je na jazyce Java založený open-source aplikační server pro Java Servlet a Java Server Page technologie (JSP).

Charakteristika zranitelnosti

Společnost Symantec objevila hrozbu pro aplikační servery Apache Tomcat. Jde o malware back door typu červ či trojský kůň. Tento druh malware umožňuje útočníkům spouštět různé příkazy na napadených počítačích a v podstatě ovládat celý počítač. Útočníci pak mohou ukrást citlivá data uživatele a použít napadený počítač k útoku na další oběti.

Back door červ byl pojmenován Java.Tomdep. Při instalaci na Tomcat server spustí skenování sítě a hledá další Tomcat servery, na které se pokouší přihlásit pomocí brute force útoku – hádá slabé kombinace uživatelských jmen a hesel. Pokud je úspěšný, zkopíruje se na server, kde se chová se jako Java Servlet. Ale místo aby vytvořil webovou stránku a plnil úkoly pro webové aplikace, pracuje jako IRC (Internet Relay Chat) bot. To znamená, že se připojuje k IRC serveru a provádí příkazy odeslané útočníkem na IRC server. Kromě standardních příkazů, jako například stahovat, přesouvat či vytvářet nový proces, SOCKS proxy, UDP flooding a automatické aktualizace, mohou být napadené počítače také skenovány z jiných strojů a útočník na ně může poslat malware. Je možné, že cílem útočníků je použít v budoucnu napadené servery k DDoS útokům. Infikované servery byly dosud detekovány v několika zemích, včetně USA, Itálii, Číně, Brazílii a Japonsku, command-and-control servery (řídící servery) útočníků byly vysledovány na Tchaj-wanu a v Lucembursku. Podle vyjádření společnosti Symantec nejsou uživatelé, kteří navštíví webové stránky tvořené napadeným Tomcat serverem, tímto malwarem ohroženi.

Postižené systémy

  • Linux,
  • Mac OS X,
  • Solaris,
  • Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Vista, Windows 7.

Dopad zranitelnosti

Umožní útočníkovi získat vzdálený přístup k systému a převzít kontrolu nad napadeným počítačem.

Řešení

Aktualizovat Apache Tomcat server na nejnovější verzi a aktualizovat a záplatovat antivirové produkty, případně je na stroje, kde běží Apache Tomcat nainstalovat.

Zkontrolovat DNS protokoly, Tomcat protokoly, protokoly brány firewall a běžící procesy na Apache Tomcat serveru.

Odkazy

http://www.symantec.com/connect/blogs/all-your-tomcat-are-belong-bad-guys
http://www.circl.lu/pub/tr-17/