Trend Micro, e le ricerche sulla sicurezza condotte dalla famosa firma digitale, hanno scoperto una serie di malware di tipo backdoor che è in grado di infettare i server HTTP basati su Java, consentendo ad un hacker di eseguire comandi nocivi in background. La minaccia, conosciuta come BKDR_JAVAWAR.JG si presenta come un file JSP, ovvero JavaServer Page, un tipo di pagina web che può essere utilizzata solamente su server Web basati su Java, come Apache Tomcat.
Una volta che la pagina malevola è stata schierata sul server, l’attaccante può accedere ad essa in remoto e può utilizzarne le funzioni come quelle di navigazione, edit, cancellazione, download o copia di file dal sistema infettato, utilizzando una console ad interfaccia Web,. E’ una funzione simile a quella fornita dai malware backdoor basati su PHP. “Oltre ad ottenere l’accesso ad informazioni sensibili, l’hacker ottiene accesso e controllo sul sistema infettato attraverso la tecnica del backdoor, ed è in grado di eseguire comandi arbitrari sul server ormai vulnerabile,” scrive sempre Trend Micro in un post sul blog dei propri ricercatori.
Il JSP backdoor di cui si parla può essere installato anche da altri malware che già si trovano sul sistema che ospita il server HTTP basato su Java, o può essere installato quando si naviga su pagine web predisposte per veicolare l’attacco. Stando alle note tecniche rilasciate da Trend Micro, il malware prende di mira i sistemi Windows 2000, Windows Server 2003, Windows XP, Windows Vista e Windows 7. “Un altro scenario possibile di attacco si conforma quando un attaccante prende in esame un sito web che si appoggia su Apache Tomcat, provando poi ad accedere al Tomcat Web Application Manager,” affermano i ricercatori di Trend Micro. “Usando uno strumento per il crack delle password, i criminali cibernetici sono in fine in grado di accedere con le credenziali da manager/amministratore..”, permettendosi di potere agire indisturbati.
Al fine di proteggere i propri sistemi da queste minacce, gli amministratori di rete dovrebbero utilizzare password molto complicate da spacchettare, e che dunque mettano in forte crisi lo strumento per il crack delle password, e mantenere sempre attivi ed aggiornati i sistemi di sicurezza per il sistema ed il software su esso in esecuzione, così da evitare che, durante la navigazione, i malware in agguato possano infettare la propria macchina.