Tomcat v ohrožení – nový malware cílí na javové servery

Nová hrozba, známá pod označením BKDR_JAVAWAR.JG, přichází ve formě stránky JavaServer Page (JSP), což je typ webové stránky, která může být nasazena a provozována pouze prostřednictvím specializovaných webových serverů obsahujících javový servletový kontejner. Typickým příkladem takového prostředí je Apache Tomcat.

Jakmile jednou dojde k nasazení nakažené stránky, útočník k ní může na dálku volně přistupovat a využít její existence k prohlížení, nahrávání, úpravě, stahování nebo kopírování souborů z infikovaného systému, to vše přes webové rozhraní konzole. Podobný postup používají útočníci i v případě platformy PHP.

„Kromě toho, že útočník získá přístup k citlivým informacím, dostává také kontrolu nad infikovaným systémem a může zranitelný server ještě více oslabit dalšími škodlivými příkazy,“ píší výzkumníci z Trend Micro na oficiálním blogu.

Škodlivý kód se na webový server může dostat také prostřednictvím jiného malwaru, který se již nějakou dobu vyskytuje na systému hostujícím server. Stejně tak ale může dojít k jeho nedobrovolnému stažení při návštěvě infikovaného webu. Z technických poznámek společnosti Trend Micro vyplývá, že malware cílí operační systémy Windows 2000, Windows Server 2003, Windows XP, Windows Vista a Windows 7.

Další možný scénář útoku podle výzkumníků vypadá tak, že hackeři nejprve cíleně vyhledávají weby běžící na aplikačním serveru Apache Tomcat a poté se k nim snaží přistupovat přes nástroj Tomcat Web Application Manager. Ve snaze předejít takovým útokům by správci serverů rozhodně měli zesílit přístupová hesla, která nelze jednoduše prolomit použitím útoku hrubou silou. Dále by měli využít všech dostupných bezpečnostních aktualizací a především se vyhnout návštěvám neznámých a nedůvěryhodných webových stránek.