El día 20 de enero de 2017 se observó una intromisión en el servidor que alojaba el sistema comdocIII de la Universidad Nacional de San Luis. La actividad identificada consistió en la creación de una cuenta en el servidor y la ejecución de programas con el supuesto fin de encontrar otros servidores vulnerables. Dicha actividad elevaba la carga de trabajo del servidor consumiendo los recursos de memoria y tiempo de CPU del mismo.
Del análisis de los archivos de log se infiere que la intromisión fue posible a través de una vulnerabilidad del servidor web usado para el sistema ComDocIII (jboss versión 4.2.3.GA), dicha vulnerabilidad fue consultada en la Internet y ha sido reportada también por otras entidades que operan sistemas web con la misma versión del servidor de aplicaciones que se nos ha sugerido en la documentación de instalación y configuración de ComdocIII.
La terea realizada consistió en apagar los servidores comprometidos (el servidor en producción de comdoc y uno de respaldo). Se configuró un nuevo servidor para el sistema de expedientes y se lo aisló de modo tal que no fuera accesible a través de Internet. Para los requerimientos de acceso al sistema desde las dependencias ubicadas fuera de la universidad se configuró otro servidor que actúa como Proxy reverso filtrando los accesos externos a la UNSL hacia el servidor interno de comdoc.
Con el fin de minimizar las vías de intromisión a través del jboss se procedió a deshabilitar las consolas de administración (jmx-console y web-console).
¿Habrá alguna actualización del JBoss que corrija este problema?..