Некорректная настройка агента Jolokia в Java-серверах ставит под угрозу web-сайты
26.06.2018
Некорректно сконфигурированный компонент Jolokia в web-сервере Java позволяет злоумышленникам осуществить кибератаку на уязвимый web-сайт. Об этом сообщил исследователь безопасности Мэт Маннион (Mat Mannion).
По словам эксперта, уязвимости в Jolokia, являющегося расширением Java Management Extensions (JMX), могут быть проэксплуатированы для хищения данных и осуществления DoS-атак (отказ в обслуживании) против web-серверов Java.
Проблема возникает из-за того, что некоторые дистрибутивы Jolokia, такие как WAR, "по умолчанию небезопасны", сообщил Маннион. Хотя Jolokia в основном используется в качестве технологии мониторинга, возможности эксплуатации данного компонента во вредоносных целях довольно обширны.
"Tomcat (и другие контейнеры сервлетов) экспортируют множество информации по JMX, а Jolokia позволяет выполнять произвольные команды, что может привести к раскрытию информации или осуществлению DoS-атаки", - отметил он.
Данная проблема затронула несколько крупных web-сайтов, в том числе принадлежащим банкам и компаниям, предоставляющим финансовые услуги. Во многих случаях "некорректная конфигурация JMX-моста привела к тому, что информация учетных записей была доступна по HTTP в виде простого текста".
Исследователь уведомил владельцев затронутых сайтов через платформу HackerOne. Он также опубликовал PoC-эксплоит для атак на контейнер сервлетов Apache Tomcat 8.
Управленческие расширения Java (Java Management Extensions, JMX) — технология Java, предназначенная для контроля и управления приложениями, системными объектами, устройствами и компьютерными сетями.
Jolokia - приложение, выполняющее роль агента и/или прокси для мониторинга локальной или удаленной Java-машины с помощью JMX.
