E o ano de 2014 começou e muito bem, ou melhor, mau para caixa econômica federal.

Vou explicar o porque..

É que um dos servidores JBoss, servidor aplicacional JAVA, versão 5.0, está de cara para internet e inseguro, sendo que um grupo de crackers/hackers aproveitou essa pequenina falha e realizou um defacement.

O mais legal é o Varnish fazendo cache do site pichado..

Pergunta: O pessoal que cuida do Varnish para caixa não sabe que algumas simples regras neste cara possibilitam a mitigação deste tipo de ataque ?

Claro que não, prova disso está logo abaixo:

Screen Shot 2014-01-02 at 12.20.19 AM

A URL que direciona para o defacement é essa aqui, e o comando abaixo demonstra o cache e o web server, que neste caso é o Jboss 5.0..

admins-MacBook-Pro-2:/ gustcol$ curl -I http://www14.caixa.gov.br/portal/acaixa/
HTTP/1.1 200 OK
X-Powered-By: Servlet 2.5; JBoss-5.0/JBossWeb-2.1
Set-Cookie: JSESSIONID=191724FC0E16EB41F9EDC334EA20A63C; Path=/portal
Cache-Control: no-cache
Content-Type: text/html;charset=UTF-8
Set-Cookie: ROUTEID=.node1; path=/
Vary: Accept-Encoding
Date: Thu, 02 Jan 2014 01:45:15 GMT
X-Varnish: 615252699
Age: 0
Via: 1.1 varnish
Connection: keep-alive

Pessoal que administra o Jboss da caixa, uma dica – jamais, em hipótese alguma, coloque o Jboss como servidor Web. Apache + mod_jk ou mod_cluster servem para isso…

Uma pergunta, não é a 4linux que suporta todo o parque Jboss da caixa ?

P.S.: Já estou imaginando o pessoal da PF em cima dos server, coletando ips, evidências e tudo mais.

Caso a molecada tenha sido esperta, a PF baterá nos ips do Tor..

P.S.S.: Pelo site da 4linux é ela mesmo que suporta o Jboss da caixa… hummm.

P.S.S.S.: Já corrigi a semântica e uma série de erros no texto acima. Caso encontre algum, por favor, informe-o..

Estamos aqui para aprender, não é mesmo.. ?!

Compartilhar:

Este post tem 4 comentários

  1. Nossa, fiquei surpreso em saber que a 4Linux tem cliente do porte da CEF.
    Mas se o suporte de segurança da 4linux tiver o mesmo nível dos cursos, a CEF estará bem enrolada (ao menos o curso que fiz: Formação Cloud).

  2. Como tem pessoas/empresas Sem Skill ganhando dinheiro!!!

  3. É triste ver que estas coisas acontecem, tenho muita vontade de trabalhar no TI desta empresa e espero poder fazer algo pra que o sistema deles possa melhorar.

Deixe uma resposta

Fechar Menu