Un error de software de JBoss deja al descubierto millones de escuelas en todo el mundo
Talos ha confirmado que más de 2.000 dispositivos han sido infectados, pero los que son vulnerables llegan a los 3,2 millones en todo el mundo.
Era una cuestión de tiempo que los colegios se vieran expuestos a los peligros que implica el aula conectada; uno de los primeros casos se ha dado en EE.UU., con el descubrimiento de un importante agujero de seguridad en el servidor de aplicaciones JBoss.
Según ha alertado la organización Talos de Cisco, especializada en detección de amenazas, cerca de 3,2 millones de máquinas están en peligro de ser atacadas en todo el mundo. En concreto, más de 2.000 máquinas han sido ya infectadas mediante una versión de JBoss sin parchear, y podrían ser usadas en cualquier momento como ventana al ransomware.
De entre estos casos hay un alto número de softwares de gestión de librerías Follet’s Destiny infectados, una aplicación muy utilizada por escuelas de todo el mundo. “Follet ha identificado el problema y ya ha tomado medidas inmediatamente para acabar con las vulnerabilidades”, ha comentado la empresa a Cisco.
Ahora mismo Follet está proveyendo de parches de seguridad para sus versiones 9.0 y 12.5 del software Destiny, además de haber anunciado que ayudará a eliminar cualquier puerta trasera que quede en el programa. También su equipo técnico de soporte contactará con los clientes para estudiar si alguno de los archivos de sus sistemas es sospechoso.
Con todo, los colegios no son los únicos afectados por este agujero de seguridad, también algunos gobiernos y compañías de aviación están entre los posibles afectados según ha revelado Cisco.
Los servidores comprometidos de JBosss suelen contener más de una Web Shell, por lo que es importante revisar los contenidos de cada página (los Web Shells son scripts que indican que un atacante ya ha abusado de un sistema y puede controlarlo remotamente). Según explica Talos, este hecho implicaría que muchos de los sistemas alojados en los servidores se han visto comprometidos numerosas veces frente a agentes externos. Para empezar a solucionar el problema, la compañía aconseja que se elimine el acceso externo al servidor.
“Lo ideal sería rediseñar el sistema e instalar versiones actualizadas del software; si por alguna razón no se puede reconstruir el sistema completamente, la mejor alternativa sería restaurar un backup anterior al ataque y actualizar el servidor a una versión que no sea vulnerable antes de continuar con su uso normal”, ha declarado Talos.
Es común que el ransomware se propague mediante descargas drive-by (sin la autorización del usuario o sin que el usuario sea consciente de las consecuencias): emails con spam, con archivos adjuntos maliciosos, etc. Samsam, uno de los más potentes, llegó a chantajear recientemente a más de 10 hospitales de Washington.
