JBoss-Server mit dem Browser gehackt
Ungeschützte Managementoberflächen ermöglichen es, den Server mit einem einfachen Webbrowser derart zu manipulieren, dass ein Angreifer Zugriff auf das System mit den Rechten des JBoss-Servers hat.
- Daniel Bachfeld
Betreiber des auf J2EE beruhenden JBoss-Application-Servers sollten bei ihrer Installation überprüfen, ob der Zugriff auf das Konfigurationstool JMX-Console mit einem Passwort geschützt ist. Andernfalls lässt sich der Server mit einem einfachen Webbrowser derart manipulieren, dass ein Angreifer Zugriff auf das System mit den Rechten des JBoss-Servers hat.
Die JMX-Console dient der Verwaltung der Managed Beans (MBeans), also von Java-Objekten, die bestimmte Ressourcen des Servers oder der Anwendungen repräsentieren. Unter anderem ist es darüber möglich, beliebige Webanwendungen mittels Web-Archive-Dateien (WAR) einzubinden. Diese können auch auf einem anderen Server liegen und sich über die addURL-Funktion hinzufügen lassen. Der Sicherheitsdienstleister n.runs hat eine Beschreibung zu dem Problem veröffentlicht, die zeigt, wie man einen verwundbaren Server findet und eine WAR-Datei auf einem Server einbindet, die Systembefehle entgegennimmt und mit den Rechten des JBoss-Servers ausführt.
Standardmäßig ist der Zugriff nach der Installation auf die JMX-Console nicht geschützt, in der Dokumentation der Open-Source-Lösung wird allerdings explizit darauf hingewiesen, dass ein Schutz noch notwendig ist. Anwender, die jetzt nachträglich ein Passwort setzen wollen, sollten sich die Anleitung Securing the JMX Console and Web Console zu Gemüte führen. Auf ein ähnliches Problem machte bereits Symantec Ende des Jahres 2006 aufmerksam und empfahl dringend, den Zugang zur Management-Console auf Port 8080 durch ein Passwort zu schützen.
Siehe dazu auch:
- Hacking a default jBoss Installation using a Browser, Bericht von n.runs
(dab)
