Vários websites usam o componente Jolokia como servidor web Java. Este componente é mal configurado pelos administradores de sistemas, incluindo organizações financeiras, e agora vêm os seus websites expostos a ataques informáticos.

Os websites que usam o componente Java Jolokia mal configurado estão expostos a ataques informáticos. Vários websites, inclusive de alto perfil, incluindo aqueles de organizações financeiras, foram afetados por problemas desta linha.

De acordo com a Mannion, algumas distribuições da Jolokia, como o agente WAR, estão “inseguras por padrão”.

“Unfortunately, in a lot of cases this doesn’t happen, and the Jolokia agent is simply deployed as jolokia.war or similar. If Tomcat then serves requests directly or behind a reverse proxy, this then leaves the Jolokia endpoint visible by a reliable URL. If this isn’t then secured by a firewall (or similar), the /jolokia endpoint can be left open to the whole Internet without authentication.” reads the security advisory published by Mannion.

“Tomcat (and other servlet containers) export an enormous amount of information over JMX and Jolokia allows execution of arbitrary commands against these MBeans, which can lead to sensitive information disclosure or a DoS [denial of service],”

 

O investigador também publicou um exploit como prova de conceito num container do servlet Apache Tomcat 8, mas facilmente percebeu que poderia ser facilmente usado em qualquer outro servidor web.

O investigador examinou a Internet e procurou por domínios Jolokia mal configurados. Foram descobertos muitos websites vulneráveis, e que foram prontamente notificando-os através do HackerOne.

 

“I wrote a small program to scan the Alexa top 1 million websites and to check for an unsecured /jolokiaendpoint. If found, this discloses the servlet container and version.” wrote the expert.

“For each domain, the following URLs were attempted:

  • http://$DOMAIN$/jolokia
  • http://www.$DOMAIN$/jolokia
  • http://$DOMAIN$:8080/jolokia
  • https://$DOMAIN$/jolokia
  • https://www.$DOMAIN$/jolokia
  • https://$DOMAIN$:8443/jolokia”

 

Dos 1.000.000  domínios, os resultados foram os seguintes:

Jolokia

 

A resposta 401 indica que as conexões com o Jolokia foram protegidas por algum tipo de autenticação. Felizmente, os responsaveis pelos websites abordaram o problema antes do investigador tornar pública a sua investigação.

Mannion também notificou a equipa de segurança do Jolokia e do Apache.

Jolokia

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *