Abbiamo appena violato uno dei nostri server, in cui un intruso ha avuto accesso utilizzando l'account JBoss e avviato gli script di exploit. Il server è stato disconnesso e viene esaminato, ma sono curioso di sapere come è entrato.
Esistono vulnerabilità in JBoss 4.x.x che consentirebbero a un intruso di eseguire uno script di shell tramite tale account?
C'è questo exploit remoto JBoss Application Server (CVE-2010-0738 ) che è stato pubblicato di recente.
L'exploit funziona per JBoss in esecuzione su entrambe le piattaforme Linux e Windows, quando l'exploit ha successo restituirà un prompt dei comandi o una shell all'attaccante.
Oltre alla vulnerabilità che Mark ha menzionato ci sono anche alcuni strumenti che sono liberamente disponibili e che sono progettati per rendere più semplice il passaggio sui server JBOSS, come ad esempio jboss-autopwn . Se sfruttano con successo il server, possono fornire payload Metasploit che includono la possibilità di ottenere la shell.
Leggi altre domande sui tag webserver zero-day known-vulnerabilities