Некорректная настройка агента Jolokia в Java-серверах ставит под угрозу web-сайты

Некорректно сконфигурированный компонент Jolokia в web-сервере Java позволяет злоумышленникам осуществить кибератаку на уязвимый web-сайт. Об этом сообщил исследователь безопасности Мэт Маннион (Mat Mannion).

По словам эксперта, уязвимости в Jolokia, являющегося расширением Java Management Extensions (JMX), могут быть проэксплуатированы для хищения данных и осуществления DoS-атак (отказ в обслуживании) против web-серверов Java.

Проблема возникает из-за того, что некоторые дистрибутивы Jolokia, такие как WAR, «по умолчанию небезопасны», сообщил Маннион. Хотя Jolokia в основном используется в качестве технологии мониторинга, возможности эксплуатации данного компонента во вредоносных целях довольно обширны.

«Tomcat (и другие контейнеры сервлетов) экспортируют множество информации по JMX, а Jolokia позволяет выполнять произвольные команды, что может привести к раскрытию информации или осуществлению DoS-атаки», - отметил он.

Данная проблема затронула несколько крупных web-сайтов, в том числе принадлежащим банкам и компаниям, предоставляющим финансовые услуги. Во многих случаях «некорректная конфигурация JMX-моста привела к тому, что информация учетных записей была доступна по HTTP в виде простого текста».

Исследователь уведомил владельцев затронутых сайтов через платформу HackerOne. Он также опубликовал PoC-эксплоит для атак на контейнер сервлетов Apache Tomcat 8.

Управленческие расширения Java (Java Management Extensions, JMX) — технология Java, предназначенная для контроля и управления приложениями, системными объектами, устройствами и компьютерными сетями.

Jolokia - приложение, выполняющее роль агента и/или прокси для мониторинга локальной или удаленной Java-машины с помощью JMX.