4月18日(米国時間)、Threatpostに掲載された記事「3.2 Million Servers Vulnerable to JBoss Attack|Threatpost|The first stop for security news」が、先週金曜日にCisco TalosがJBossの脆弱性がランサムウェア「SamSam」による攻撃に悪用されていることを報告したことを引き合いに出し、すでに数千のサーバにバックドアが仕込まれていると伝えた。
Cisco Talosの報告によれば、Follettが開発した「Destiny」と呼ばれるライブラリ管理ソフトウェアが稼働しているサーバがランサムウェア「SamSam」による攻撃に悪用されたという。このソフトウェアは6万を超える幼稚園から高校までに相当する教育機関で使われており、すでに先週の金曜の段階でそうしたサーバのいくつかはバックドアが仕込まれた状態で攻撃に悪用できる状態になっていたという。どの程度の数のサーバがバックドアが仕込まれたのかは発表されていない。
攻撃者はJexbossと呼ばれるJBossを対象としたエクスプロイトキットを使ってサーバにバックドアを仕込んだとしており、mela、shellinvoker、jbossinvoker、jbotなどのバックドアが仕込まれたとしている。パッチを適用していないサーバが攻撃の対象になっているとされており、該当するプロダクトを使用している場合は注意が必要。セキュリティパッチを適用するとともに、関連するソフトウェアを常に最新のバージョンにアップデートすることが望まれる。