vale security conference - 2011 - 14 - alexandro silva (alexos) [dc labs]
DESCRIPTION
Vale Security Conference - 2011 Domingo - 14ª Palestra Palestrante : Alexandro Silva (Alexos) [DC Labs] Palestra : Comendo JBoss com Farinha! Twitter (Alexandro Silva) : https://twitter.com/#!/alexandrosilva Slide (SlideShare) : http://www.slideshare.net/valesecconf/alexosTRANSCRIPT
03 e 04 de setembro 2011 – São Paulo/SP
• Analista de Segurança;
• Professor na pós-graduação em Segurança da
Informação;
• Membro do DClabs.
JBoss é um servidor de aplicações Java baseado no
padrão J2EE. Ele é responsável pela hospedagem,
publicação e gerenciamento de portais corporativos.
● Muitos portais *.gov.br;
● Globo.com
Motivação
● (In)experiência;
● Auto aprendizado ;
● Desafio.
Pesquisas anteriores
● Tyler Krpata – Defcon 18
● Christian Papathanasiou – BlackHat 10
● Porque usar JBossAS?
● Fácil instalação;
● Bom conteúdo
estático;
● Excelente solução de
clustering;
● Segue totalmente o
padrão
Arquitetura
Integração do JMX-Console
JMX-Console
(IN)segurança● O foco não é segurança;
● Instalação padrão vulnerável:
➔ Parar serviço ou servidor;
➔ Execução de software malicioso.
Exploits● Exploits públicos:
● JBoss Autopwn por Christian
Papathanasiou – Trustwave Spiderlabs
● JBossAS Remote Exploit por Kingcope
Vitimasinurl:"/jmx-console" intext:"JMX Agent View"
Ohh my F*cking God!!
How I resolve this???
DicasDicas
● Mitigação ( Linux ):
● top;
● lsof -i;
● strace -fp [PID];
● Cuidado com o process syscom;
● Habilite a autenticação:
● JMX-Console
● Web-console
Mitigação
Referências
● Securing the JMX Console –http://community.jboss.org/wiki/SecureTheJmxConsole
● JBossAS Admin Guide - http://docs.jboss.org/jbossas/jboss4guide/r3/adminguide.pdf
● JBoss AS 6.0 Security Guide –http://docs.jboss.org/jbosssecurity/docs/6.0/security_guide/html_single/index.html
Contatos
Email: [email protected]
Sites: http://www.dclabs.com.br http://alexos.org
Twitter:@alexandrosilva