محققان امنیتی شرکت Trend Micro یک بدافزار از نوع راه نفوذ
مخفی (backdoor) را کشف کردهاند که سرورهای HTTP مبتنی بر جاوا را آلوده
کرده و به مهاجمان اجازه می دهد که دستورات خرابکار را بر روی سیستمها
اجرا نمایند. این بدافزار کارکر راه نفوذ مخفی داشته و به عنوان یک فایل
JSP اجرا می گردد.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، این تهدید که با عنوان BKDR_JAVAWAR.JG شناخته میشود، بصورت یک صفحه
جاوا سرور (JSP) است.
JSP یک نوع صفحه وب است که می تواند فقط از طریق یک سرور وب خاص با یک Java servlet مانند Apache Tomcat به کار گرفته شود.
زمانی که این صفحه مورد استفاده قرار می گیرد، مهاجم می تواند از راه
دور به آن دسترسی پیدا کرده و با استفاده از یک کنسول وب، از توابع آن برای
مرور کردن، بارگذاری، ویرایش، حذف، دانلود یا کپی کردن فایلها از سیستم
آلوده، استفاده نماید.
این کار مشابه عملکرد راههای نفوذ مخفی مبتنی بر PHP است که عمدتاً با نام PHP Web shell شناخته میشوند.
به گفته محققان Trend Micro، علاوه بر دسترسی به اطلاعات حساس، یک مهاجم
کنترل سیستم آلوده را از طریق راه نفوذ مخفی به دست آورده و می تواند
دستورات خرابکار بیشتری را بر روی سرور آسیب پذیر اجرا نماید.
راه نفوذ مخفی JSP میتواند توسط سایر بدافزارهایی که بر روی سیستم
میزبان سرور HTTP مبتنی بر جاوا وجود دارند نصب گردد یا اینکه در هنگام
مرور وب سایتهای خرابکار، دانلود شود.
بنا بر یادداشتهای فنی Trend Micro، این بدافزار سیستمهای ویندوز
۲۰۰۰، ویندوز سرور ۲۰۰۳، ویندوز XP، ویندوز ویستا و ویندوز ۷ را هدف قرار
میدهد.
به گفته محققان Trend Micro، یک سناریوی محتمل دیگر برای حمله، زمانی
است که مهاجم وب سایتهای نیرو گرفته از Apache Tomcat را چک کرده و سعی
میکند به Tomcat Web Application Manager دسترسی پیدا نماید.
با استفاده از یک ابزار شکستن کلمه عبور، مجرمان سایبری قادر هستند لاگین
کرده و حقوق مدیریتی را برای به کار گیری فایلهای WAR به دست آورند.
برای محافظت از این سرورها در برابر این تهدید، مدیران سیستم باید از
کلمات عبور قوی استفاده کنند که به راحتی با استفاده از ابزارهای معمول
شکسته نشود.
همچنین باید تمامی به روز رسانی های امنیتی موجود را برای سیستمها و
نرمافزارهای خود اعمال نمایند و از مشاهده وب سایتهای ناشناخنه و غیر
قابل اعتماد خودداری کنند.