WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
DigitalOcean cảnh báo về lỗ hổng ảnh hưởng đến người dùng Cloud
DigitalOcean cảnh báo khách hàng về một số ứng dụng 1-Click chạy MySQL sử dụng chung một tài khoản và mật khẩu mặc định trong tất cả các instance. Công ty cho biết vấn đề này cũng ảnh hưởng đến các nhà cung cấp dịch vụ Cloud khác.
Khách hàng của DigitalOcean thông báo với giới truyền thông về việc họ nhận được một email khuyến cáo họ chạy một tập lệnh nhằm xác định xem Droplets của họ - tên được sử dụng cho các máy chủ đám mây của hãng – có bị ảnh hưởng bởi lỗ hổng này.
Công ty cho phép người dùng triển khai các ứng dụng được xây dựng và được cấu hình sẵn với chỉ một cú nhấp chuột. Danh sách các ứng dụng 1-Click (One-Click) bao gồm Node.js, Rails, Redis, MongoDB, Docker, GitLab, Magento và nhiều ứng dụng khác.
DigitalOcean phát hiện thấy các ứng dụng 1-Click chạy MySQL trên Debian và Ubuntu tạo ra một tài khoản người dùng MySQL có tên là "debian-sys-maint" với mật khẩu giống nhau trên tất cả các Droplets được tạo từ một phiên bản ứng dụng 1-Click.
Người dùng "debian-sys-maint" được thiết kế cho các mục đích quản trị nội bộ và cần có mật khẩu ngẫu nhiên. Tuy nhiên, do có lỗi, tất cả các phiên làm việc của một ứng dụng đều được tạo từ cùng một phiên bản ứng dụng có chung một mật khẩu.
DigitalOcean cho biết lỗ hổng này có thể "khai thác từ xa", ảnh hưởng đến MySQL và một số ứng dụng khác sử dụng MySQL, bao gồm PHPMyAdmin, LAMP, LEMP, WordPress và OwnCloud.
"Chúng tôi sẽ phát hành một thông báo công khai về vấn đề này, nhưng trước tiên muốn đảm bảo những người dùng bị ảnh hưởng, chúng tôi cần có thời gian để hành động", công ty cho biết trong email gửi khách hàng của mình. "Trong quá trình xác minh, chúng tôi đã phát hiện thấy phiên bản ứng dụng trên các nhà cung cấp đám mây khác cũng có cấu hình sai kiểu này".
DigitalOcean đã cung cấp một tập lệnh cho phép người dùng xác định xem Droplets của họ có bị ảnh hưởng hay không và cập nhật mật khẩu nếu cần. Tập lệnh này hoạt động trên Ubuntu 14, 16 và 17, và Debian 7 và 8. Trong khi đó Debian 9 không bị ảnh hưởng.
Khách hàng đã thay đổi mật khẩu của người dùng "debian-sys-maint" sau khi cài đặt ứng dụng 1-Click sẽ không bị ảnh hưởng bởi lỗ hổng và họ không cần thực hiện bất kỳ hành động nào.
"Chúng tôi đã thay đổi 1-click của mình để đảm bảo rằng tất cả các Droplets trong tương lai sẽ có mật khẩu duy nhất, tự động tạo ra cho người dùng này", DigitalOcean cho hay.
Khách hàng của DigitalOcean thông báo với giới truyền thông về việc họ nhận được một email khuyến cáo họ chạy một tập lệnh nhằm xác định xem Droplets của họ - tên được sử dụng cho các máy chủ đám mây của hãng – có bị ảnh hưởng bởi lỗ hổng này.
Công ty cho phép người dùng triển khai các ứng dụng được xây dựng và được cấu hình sẵn với chỉ một cú nhấp chuột. Danh sách các ứng dụng 1-Click (One-Click) bao gồm Node.js, Rails, Redis, MongoDB, Docker, GitLab, Magento và nhiều ứng dụng khác.
DigitalOcean phát hiện thấy các ứng dụng 1-Click chạy MySQL trên Debian và Ubuntu tạo ra một tài khoản người dùng MySQL có tên là "debian-sys-maint" với mật khẩu giống nhau trên tất cả các Droplets được tạo từ một phiên bản ứng dụng 1-Click.
Người dùng "debian-sys-maint" được thiết kế cho các mục đích quản trị nội bộ và cần có mật khẩu ngẫu nhiên. Tuy nhiên, do có lỗi, tất cả các phiên làm việc của một ứng dụng đều được tạo từ cùng một phiên bản ứng dụng có chung một mật khẩu.
DigitalOcean cho biết lỗ hổng này có thể "khai thác từ xa", ảnh hưởng đến MySQL và một số ứng dụng khác sử dụng MySQL, bao gồm PHPMyAdmin, LAMP, LEMP, WordPress và OwnCloud.
"Chúng tôi sẽ phát hành một thông báo công khai về vấn đề này, nhưng trước tiên muốn đảm bảo những người dùng bị ảnh hưởng, chúng tôi cần có thời gian để hành động", công ty cho biết trong email gửi khách hàng của mình. "Trong quá trình xác minh, chúng tôi đã phát hiện thấy phiên bản ứng dụng trên các nhà cung cấp đám mây khác cũng có cấu hình sai kiểu này".
DigitalOcean đã cung cấp một tập lệnh cho phép người dùng xác định xem Droplets của họ có bị ảnh hưởng hay không và cập nhật mật khẩu nếu cần. Tập lệnh này hoạt động trên Ubuntu 14, 16 và 17, và Debian 7 và 8. Trong khi đó Debian 9 không bị ảnh hưởng.
Khách hàng đã thay đổi mật khẩu của người dùng "debian-sys-maint" sau khi cài đặt ứng dụng 1-Click sẽ không bị ảnh hưởng bởi lỗ hổng và họ không cần thực hiện bất kỳ hành động nào.
"Chúng tôi đã thay đổi 1-click của mình để đảm bảo rằng tất cả các Droplets trong tương lai sẽ có mật khẩu duy nhất, tự động tạo ra cho người dùng này", DigitalOcean cho hay.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: