03 e 04 de setembro 2011 – São Paulo/SP

Alexandro Silvaalexos@dclabs.com.br

http://alexos.org http://www.dclabs.com.br

Comendo JBoss com farinha!

• Analista de Segurança;

• Professor na pós-graduação em Segurança da

Informação;

• Membro do DClabs.

JBoss é um servidor de aplicações Java baseado no

padrão J2EE. Ele é responsável pela hospedagem,

publicação e gerenciamento de portais corporativos.

● Muitos portais *.gov.br;

● Globo.com

Motivação

● (In)experiência;

● Auto aprendizado ;

● Desafio.

Pesquisas anteriores

● Tyler Krpata – Defcon 18

● Christian Papathanasiou – BlackHat 10

● Porque usar JBossAS?

● Fácil instalação;

● Bom conteúdo

estático;

● Excelente solução de

clustering;

● Segue totalmente o

padrão

Arquitetura

Integração do JMX-Console

JMX-Console

(IN)segurança● O foco não é segurança;

● Instalação padrão vulnerável:

➔ Parar serviço ou servidor;

➔ Execução de software malicioso.

Exploits● Exploits públicos:

● JBoss Autopwn por Christian

Papathanasiou – Trustwave Spiderlabs

● JBossAS Remote Exploit por Kingcope

Vitimasinurl:"/jmx-console" intext:"JMX Agent View"

Ohh my F*cking God!!

How I resolve this???

DicasDicas

● Mitigação ( Linux ):

● top;

● lsof -i;

● strace -fp [PID];

● Cuidado com o process syscom;

● Habilite a autenticação:

● JMX-Console

● Web-console

Mitigação

Referências

● Securing the JMX Console –http://community.jboss.org/wiki/SecureTheJmxConsole

● JBossAS Admin Guide - http://docs.jboss.org/jbossas/jboss4guide/r3/adminguide.pdf

● JBoss AS 6.0 Security Guide –http://docs.jboss.org/jbosssecurity/docs/6.0/security_guide/html_single/index.html

Contatos

Email: alexos@dclabs.com.br

Sites: http://www.dclabs.com.br http://alexos.org

Twitter:@alexandrosilva