Telecomproviders zijn al anderhalf jaar het doelwit van een groep aanvallers die via ongepatchte servers toegang tot de bedrijven weten te krijgen, zo waarschuwt Microsoft. De groep wordt Gallium genoemd en maakt gebruik van bekende kwetsbaarheden in WildFly/JBoss, waarvoor beschikbare beveiligingsupdates niet door de telecomproviders zijn geïnstalleerd.

JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Desondanks zijn er nog altijd telecomproviders die hun servers niet hebben geüpdatet.

Via de webserver weten de aanvallers toegang tot de rest van het netwerk te krijgen en maken daarbij gebruik van bekende tools en technieken zoals Mimikatz. Via deze tool worden wachtwoorden buitgemaakt waarmee de aanvallers zich lateraal door het netwerk kunnen bewegen. Microsoft merkt op dat de aanvallers voornamelijk gebruikmaken van webshells op de gecompromitteerde servers om verdere malware binnen de aangevallen organisatie te verspreiden. Om aanvallen te voorkomen adviseert Microsoft om webservers en andere systemen te patchen, logs te controleren en webservices met minimale rechten te draaien.

Source