【漏洞描述】

GlassFish 是一款用于构建 Java EE的应用服务组件。2015年10月，被爆出通用任意文件读取漏洞。利用这个漏洞，攻击者可读取服务器上任意文件。用户可自行到GlassFish官方网站下载更新修复。

【趋势跟踪】

根据我们在全球部署的蜜罐捕获的数据显示，针对GlassFish的攻击从来没有停止过，POC在1月14日 公布之后，攻击达到了顶峰，下图为最近两周蜜罐捕获的攻击趋势。

提取一个月内针GlassFish进行了全网大规模扫描的IP进行分析，TOP15个IP如下：

排名第一的IP位于荷兰阿姆斯特丹，实际为国内安全厂商服务器，排名第二的则是美国的shodan搜索引擎。

接下来利用我们数据系统对这批攻击源IP进行批量画像，结果显示如下：国内IP较多，操作系统linux和windows均有，服务器均为数据中心并有部分识别为公司专网出口。

抽取了一个IP进行了详细画像：

【影响范围评估】

根据我们基础数据系统的结果显示，国内使用了glassfish的IP经过去重后总量为 2093，虽然glassfish的默认端口为4848但是多数的用户把这个服务开到了80、8080端口。

国内省份分布情况如下：

官方已经发布更新修复这个问题，下载地址：https://glassfish.java.net/download.html

作者：阿里云威胁情报团队