JMX 취약점을 이용한 JBoss Worm
WEB/JBossAS / 2012. 2. 14. 11:21
JBoss 의 JMX 취약점을 이용한 Worm 이 최근들어 곳곳에서 보이고 있습니다. 그에 따른 예방책과 해결책을 찾기위해 분석을 시작합니다.
JBoss Worm 분석
현재 알려진 worm 은 perl 스크립트를 이용하여 JMX console 을 호출하는 방식을 사용하고 있습니다.해당 perl 스크립트가 실행되면, IRC 서버에 접속하게 되어 닉네임이 "iseee" 인 사용자의 명령에 따라 작업을 수행하게 됩니다.
Worm 수행 작업
해당 worm 은 다음과 같이 4가지 작업을 수행합니다.| 작업 | IRC 메시지 | 처리 결과 |
| 종료 | PRIVMSG iseee :.die | perl 스크립트 종료 |
| 명령어 실행 | PRIVMSG iseee :.rsh "[명령어]" | 해당 명령어를 수행 |
| 다운로드 | PRIVMSG iseee :.get "[url]" "[반복횟수]" | 해당 url 을 반복횟수 만큼 다운로드 |
| POST 연결 | PRIVMSG iseee :.post "[url]" "[데이터]" | 해당 url 에 데이터를 포함하여 POST 연결 요청 |
예방책 및 해결책 (확인 중...)
최초에 jmx-console 의 취약점으로 인해 들어오기 때문에 jmx-console 인증 설정이 우선 시 되어야 합니다. jmx-console 을 막았음에도 계속해서 perl 스크립트가 재생되는 것으로 보아 별도의 숙주가 있을 것으로 예상됩니다.추후, 새로 알게 되는 정보가 있으면 공유하도록 하겠습니다.