目前多達320萬計算機運行著未打補丁版本的JBoss中間件軟件，這意味著這些計算機很容易被用于傳播SamSam和其他勒索軟件，這也突出了一直存在的未打補丁系統的風險問題。在掃描包含JBoss漏洞的受感染機器后，思科Talos發現超過2100個后門程序被安裝在關聯近1600個IP地址的系統中。

Talos報告稱，未打補丁的JBoss正在被一個或多個webshell利用，webshell是可上傳到Web服務器并對該服務器進行遠程管理的腳本。該報告表明，企業需要對修復生產軟件非常警惕。

“在這個過程中，我們了解到在受影響的JBoss服務器中通常有不只一個webshell，”Talos威脅研究人員Alexander Chiu寫道，“我們看到很多不同的后門程序，括‘mela’、‘shellinvoker’、‘jbossinvoker’、‘zecmd’、‘cmd’、‘genesis’、‘sh3ll’以及‘Inovkermngrt’和‘jbot’。這意味著很多這些系統已經由不同的攻擊者進行多次攻擊。”

其中受影響的企業包括學校、政府和航空企業等，有些受影響系統在運行Follett Destiny(這是追蹤學校圖書館資產的管理系統，被用在全球各地的K-12學校)。Follett已經確定了這個問題，并發布了JBoss漏洞的修復程序，并且還與Talos合作來分析攻擊者使用的webshell。

“Webshell是重大的安全問題，因為它表明攻擊者已然攻擊了該服務器，并可遠程控制它，”Chiu寫道，“并且，受影響的Web服務器可能被攻擊者利用，以在內部網絡橫向移動。”

Talos建議企業盡快修復受影響的設備，首先應該移除對外部網絡的訪問以防止攻擊者訪問該系統，然后重新鏡像該系統或者從備份中恢復，接著升級軟件版本，再重新應用到生產環節。

根據Talos表示，最重要的是確保軟件補丁及時更新。“攻擊者在選擇攻擊目標時并不會排除舊系統，因為這可以幫助他們賺錢，”Cylance公司安全研究人員Derek Soeder表示，“特別是對于不加選擇的攻擊者，即便易受攻擊的系統只有小部分暴露在互聯網中，也值得他們發動攻擊。”

根據威脅管理公司PhishMe研究人員Sean Wilson表示，Web框架特別容易受到攻擊。

“我們已經看到攻擊者使用webshell很長一段時間，通常瞄準WordPress和Joomla等Web框架，因為這些已經得到個人用戶的廣泛部署和使用，”Wilson表示，“它們有成熟的插件生態系統，可包含基本框架進行部署，也許不太容易受攻擊，不過多個過期的插件就可能包含可被攻擊者利用的漏洞。”

JexBoss webshell工具以及舊的JBoss漏洞

受影響的服務器中發現的webshell是JexBoss，這是用于測試和利用JBoss應用服務器中漏洞的開源工具。JexBoss可在GitHub找到，并具有滲透測試和審計等合法用途。Talos報告稱，JexBoss被用于傳播SamSam勒索軟件變體。傳統的勒索軟件攻擊是通過網絡釣魚或漏洞利用工具包來傳播，而SamSam則是在服務器上獲得立足點，然后在受害網絡中橫向傳播。

JBoss是由Red Hat Software發布的中間件，JBoss的漏洞在2010年被發現并修復，被命名為CVE-2010-0738。Talos報告稱這個漏洞仍然在被用于傳播SamSam勒索軟件。

專家們一致認為，大量易受攻擊的系統表明企業需要定期修復已安裝的軟件。

“這些補丁于多年前發布，但IT專業人員和個人通常沒有及時安裝安全補丁，”數據保護公司Carbonite公司首席傳播者Norman Guadagno表示，“在這種情況下，攻擊者發現攻擊教育IT系統的機會，但正如我們所看到的，這并不分行業。這也再次提醒我們為什么IT管理員需要重新審視其安全狀態和政策。”

處理補丁問題

端點安全初創公司Barkly Protect首席執行官Jack Danahy表示：“補丁管理和保持系統更新并不容易。系統和應用之間存在復雜的依存關系，這讓更新決策變得很困難。”JBoss漏洞讓攻擊者可攻擊學校，但需要更新的應用是Follett的Destiny圖書館管理系統。如果系統管理員沒有意識到Destiny依賴于JBoss，JBoss漏洞的存在可能不會讓他們意識到更新其圖書館管理系統的緊迫性。

在這里，修復可能是關鍵，但對于資源有限的企業來說，這并不總是容易的事情。“資源匱乏的企業在規劃項目成本時應該考慮一些未來的修復成本，”CASB網絡安全研究主管Yishai Beeri表示，“定期修復可緩解很多長期存在的漏洞利用，最起碼，應該優先修復面向公眾的系統。”

“隨著時間的推移，易受攻擊系統的數量會越來越多，”Soeder說道，“有時候是由于疏忽，通常企業并不知道他們正在運行的所有系統，這有可能因為易受攻擊的軟件被嵌入到另一個產品中去。”Soeder解釋說，軟件未及時修復還有很多其他原因，包括系統管理員沒有意識到他們運行的軟件包含漏洞或者他們并沒有從供應商處獲得更新。

在一些情況下，管理員沒有足夠的資源來部署補丁，或者他們試圖修復補丁時，補丁并未生效;“有時候這就像在修復后忘記重啟，”Soeder稱，“攻擊者是機會主義者，而這些疏忽都是他們的機會。”

下一個未打補丁、不受支持的框架或平臺是什么?

Guadagno表示：“在很多情況下，這些攻擊者并沒有重新發明攻擊方法;他們只是利用已知的漏洞而已。”

攻擊者可能會繼續瞄準那些未打補丁的含有易受攻擊插件的服務器，Wilson稱：“我們可能會看到勒索軟件擴散到這些服務中去，且作為繼電器或者端點來加載惡意軟件的載體。企業門戶網站或其他企業端點是服務器端勒索軟件的目標，因為這里的影響會比個人用戶博客大得多。再加上現有的漏洞利用，攻擊者可從中獲得豐厚的利潤。”

“現在仍有數百個廣泛使用的框架包含可利用且還沒有修復的漏洞，例如OpenSSL、Tomcat、Java，”安全測試供應商Bugcrowd研究員及業務高級總監Kymberlee Price表示，“這些庫可能被用于網絡中多個獨特的應用里，這需要IT人員重復修復相同的底層漏洞。”

Guadagno表示：“我們知道，沒有得到正確架構或維護的系統通常是最危險的系統，目前最危險的平臺是Windows XP，它已經不再受支持，但仍有2.5億人在使用它。此外，Microsoft Server 2003也即將終止支持，這些都可能成為勒索軟件的首要目標。”

如何防止更多漏洞?

“如果你還沒有為保護環境和數據進行投資，之后你可能會付出代價，”Price稱，“對于使用第三方庫的開發人員，部署BlackDuck等代碼掃描工具可幫助保持安全性。”

Price還建議結合代碼掃描的結果與威脅情報信息來修復最高風險問題;自動化還可幫助提高員工效率。還有很多其他方法，包括通過高級網絡監控掃描需要更新的軟件、部署網絡訪問控制以及入侵檢測解決方案，還有在單個系統使用殺毒軟件和惡意軟件清除程序等。

“如果你找不到某個產品的任何安全公告，請警惕，因為這可能意味著沒有人在測試該產品的安全性，或者供應商的安全流程不成熟或不存在。他們應該有全面的流程來通知客戶安全問題的存在，他們還應該免費提供安全補丁，即便主流支持已經終止。如果可能的話，你可考慮轉移到基于云的系統，由云計算提供商來處理安全問題，減輕你的負擔。”

“補丁管理已經不再只是在周二安裝操作系統時更新，”Danahy稱，“企業的被攻擊面已經擴大到涉及數百個軟件包，隨著不斷添加新的功能和產品，企業在為未來的預算和規劃中需要考慮這些新增部分的更新成本。”

“預防是最好的良藥，”戴爾最終用戶計算執行主管Brett Hansen稱，企業可通過內部IT人才或有限預算做很多工作，最大限度地發揮其資源，企業還需要優先排序安全工作，“每個企業都需要對軟件維護工作以及補丁安裝進行優先排序，以減少IT基礎設施中漏洞范圍。確保IT基礎設施保持更新，以幫助各種規模的企業在最大程度上控制風險。”

最后，Hansen稱：“異地數據備份很重要，這樣如果你被勒索攻擊，你還可以恢復備份，你的數據永遠不會丟失。”

Guadagno稱：“我們一次又一次看到攻擊者瞄向‘依靠計算機系統執行關鍵業務功能的大型企業’，以前我們認為備份是值得擁有的功能，而現在備份已經變成必須擁有的功能。”