Unwire.pro 早前報導過勒索軟件 SamSam 怎樣威脅醫院系統,現在資訊安全公司又警告,SamSam 已轉而攻擊學校和政府;又指全球有 320 萬部伺服器運行未更新的 JBoss,容易被 SamSam 入侵。
勒索軟件 SamSam 利用有漏洞的 JBoss 伺服器入侵系統,無需使用電郵。SamSam 早前在美國的醫院肆虐,但 CisCo Talos 指 SamSam 現已轉攻學枚、政府以及其他使用更新 JBoss 伺服器的機構。
Cisco Talos 又推算,現時有 320 萬部伺服器在使用有問題的 JBoss;他們更在 1600 個 IP 的 JBoss 伺服器中找到 2100 個後門。事實上,修復 JBoss 漏洞的檔案早已推出,但部分管理員沒有採用,有時一些程式要在舊版 JBoss 才可使用,這些情況均導致問題發生。其中一些有漏洞的系統安裝了圖書館管理系統 Destiny,美國有不少學校均有採用,Cisco Talos 已就此通知開發者 Follett 。
Cisco Talos 指部分的後門包括 mela、shellinvoker、jbossinvoker、zecmd、cmd、genesis、sh3ll 等。他們建議假如管理員懷疑伺服器受到入侵,應將之下線,然後把檔案小心地轉移到已安裝修補檔案的新系統中。「安裝更新是軟件維護的重要元素,但用戶和軟件開發者經常將之忽略。」
Source : The Register