在一家公司使用以前未知的Java漏洞识别出针对其客户的攻击之后,安全公司警告业务用户和消费者,如果可能,请删除Java。8月24日,威胁防护公司FireEye 停止了针对该漏洞的攻击,并在周末确认了先前未发现安全问题。FireEye的资深研究员Atif Mushtaq说,该攻击利用了最新版本的Java 7软件平台中的漏洞,并且可以在Windows,Mac OS X和Linux上执行。
FireEye和其他安全公司已经发现该攻击非常安静。
8月27日,穆什塔克说:“与其他漏洞一样,当这些漏洞运行时,它们会使您的浏览器崩溃并给您带来种种错误的感觉,而这种攻击实际上是无声的。每个大型平台现在都真正成为攻击目标。
Java软件平台以其跨平台功能和标语线“一次编写,随处运行”而著称,它已成为具有主要漏洞利用工具包(例如Blackhole)的网络分子的热门目标,其中包括至少一些针对Java漏洞的利用方法。该软件的广泛部署,尤其是在企业环境中,以及为了保持向后兼容性而保留较旧的易受攻击的版本的必要性,这为攻击者提供了一个轻松利用目标系统的理想环境。
这次失败的攻击导致发现了此漏洞,它试图安装Poison Ivy,这是一个著名的rootkit,但它也已用于一些与国家有关的攻击中。攻击源于中国的服务器,但专家很快指出,网络分子利用其他国家的受感染服务器来误导调查人员。
Mushtaq和其他安全研究人员担心,在购买Sun Microsystems时接管Java开发的甲骨文将推迟发布补丁程序,直到10月16日定期发布补丁程序。
DeepEnd Research的联合创始人米拉·帕库尔(Mila Parkour)在8月27日的博客中说: “ Oracle几乎从来不会发布周期外的补丁程序,但希望它们这次会足够严重。”
速度至关重要,因为漏洞利用已经开始出现在攻击者和攻击性安全专家(例如渗透测试人员)所使用的许多工具中。Metasploit项目管理着同名项目的开发,该项目于8月26日发布了一个模块,用于利用所有主要平台和浏览器上的漏洞。而且,Blackhole攻击工具包的Beta版(一种网络分子入侵计算机并管理生成的僵尸网络的流行方式)包括Metasploit攻击的一种版本。
在获得有关攻击的信息之后,其他安全提供程序也发现了攻击的迹象。开源安全管理提供商AlienVault 于8月27日发布了有关 FireEye报告的类似攻击的详细信息。它还确认了与Poison Ivy Rootkit的链接。
该公司表示:“一个模块刚刚为Metasploit发布,因此是时候在所有系统中禁用Java了。” “并且请记住在日志中搜索与此攻击相关的域/ IP的连接。”