Acabamos de sufrir una violación de uno de nuestros servidores, donde un intruso obtuvo acceso utilizando la cuenta de JBoss y comenzó a ejecutar scripts de exploit. El servidor se ha desconectado y se está investigando, pero tengo curiosidad por saber cómo entró.
¿Existen vulnerabilidades conocidas en JBoss 4.x.x que permitan a un intruso ejecutar un script de shell a través de esa cuenta?
Hay esta Explotación remota del servidor de aplicaciones JBoss (CVE-2010-0738 ) que se publicó recientemente.
El exploit funciona para JBoss ejecutándose en plataformas Linux y Windows, cuando el exploit tiene éxito, devolverá un indicador de comando o un shell al atacante.
Además de la vulnerabilidad que Mark mencionó, también hay algunas herramientas disponibles de forma gratuita que están diseñadas para facilitar el control de los servidores JBOSS, como jboss-autopwn . Si explotan con éxito el servidor, pueden entregar cargas útiles Metasploit que incluyen la capacidad de obtener shell.
Lea otras preguntas en las etiquetas webserver zero-day known-vulnerabilities