Java multiplatformní malware zaměřený servery Apache Tomcat aktuálně útočí. Takashi Katsuki, výzkumník sntivirové společnosti Symantec objevil nový právě probíhající kybernetický útok se zaměřením na open-source aplikační server Apache Tomcat. Multiplatformni backdoor je napsán v jazyce Java a může být použity k útoku na jiné stroje. Malware, se jmenuje „Java.Tomdep“ a liší od jiných malware tím, že není napsán v skriptovacím jazyce PHP.
Jedná se o Java backdoor fungující jako Java Servlet, který negativně ovlivňuje funkčnost Apache Tomcat.
Vzhledem k tomu, že Java je multiplatformní jazyk, postižené platformy mohou být Linux, Mac OS X, Solaris, a nejvíce používaných systému Windows. Java.Tomdep byl objeven před necelým měsícem a infikovanost počítačů se zdá být zatím nízká.
Můžeme si myslet, že tento typ útoku se týká pouze osobních počítačů, jako jsou stolní počítače a notebooky, ale bohužel to není pravda. Servery mohou být též napadeny. Jsou velmi cenné cíle, protože jsou obvykle vysoce výkonné běží 24×7. Tomcat je ovšem převážně serverová aplikace.
Java červ hledá Apache Tomcat instance a poté se pokouší do nich přihlásit s použitím brute-force útoku pomocí kombinace uživatelského jména a hesla.
Po instalaci sebe sama se servlet chová jako IRCBot a je schopen přijímat příkazy od útočníka. Malware je schopen posílat a stahovat soubory ze systému, na které má právo uživatel pod kterým Tomcat běží. Může vytvářet nové procesy, aktualizovat sám sebe, může nastavit SOCKS proxy. Dále umí odesílat UDP pakety. Čímž může provádět masivní DDoS útoky. Ilustrační obrázek.
Výskyt malware byl vysledován na Tchaj-wanu a v Lucembursku. Aby se zabránilo tomuto nebezpečí, je třeba záplatovat a aktualizovat. Taktéž je třeba neponechat v Tomcatu výchozí instalační hesla.
Spam z anti-virové společnost tvrdí, že je oprava zabezpečení? Je to Zbot/Zeus malware … Julie Yeates z SophosLabs upozornila na spam kampaň, která rozesílala z různých bezpečnostních a antivirových firem falešné zprávy nabádající k instalaci neexistující aktualizace. Pro běžného uživatele by měl obdobný email být varováním, protože samotné aktualizace OS žádná společnost nerozesílá emailem.
Do internetu připojené televizory LG Smart TV odesílají informace s názvy souborů ve sdílených složkách. Pravděpodobně i Smart TV jiných výrobců odesílají nějaká data. Bohužel se to hůře prokazuje. Proč o této funkcionalitě není spotřebitel informován a nemá volbu odesílání vypnout? Obdobný report na stejné téma.
Ve zkratce
- GitHub účty ohroženy masivním útokem hrubou silou pomocí 40.000 IP adres
- Podívejte se jak Facebook, Google, Microsoft a další šifrují data
- Internet hardening: obrňujeme síť proti Velkým bratrům.
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
