DigitalOcean cảnh báo về lỗ hổng ảnh hưởng đến người dùng điện toán đám mây

15:20 | 09/10/2017

Gần đây, công ty DigitalOcean (Mỹ) đã cảnh báo khách hàng về một số ứng dụng 1-Click chạy MySQL, sử dụng chung một tài khoản và mật khẩu mặc định trong tất cả các instance. Công ty cho biết vấn đề này cũng ảnh hưởng đến các nhà cung cấp dịch vụ đám mây khác.

Khách hàng của DigitalOcean thông báo với giới truyền thông về việc họ nhận được một email khuyến cáo họ chạy một tập lệnh nhằm xác định xem Droplets của họ - tên được sử dụng cho các máy chủ đám mây của hãng bị ảnh hưởng bởi lỗ hổng này.

Công ty cho phép người dùng triển khai các ứng dụng được xây dựng và được cấu hình sẵn với chỉ một cú nhấp chuột. Danh sách các ứng dụng 1-Click (One-Click) bao gồm: Node.js, Rails, Redis, MongoDB, Docker, GitLab, Magento và nhiều ứng dụng khác.

DigitalOcean phát hiện thấy các ứng dụng 1-Click chạy MySQL trên Debian và Ubuntu tạo ra một tài khoản người dùng MySQL có tên là "debian-sys-maint" với mật khẩu giống nhau trên tất cả các Droplets được tạo từ một phiên bản ứng dụng 1-Click.

Người dùng "debian-sys-maint" được thiết kế cho các mục đích quản trị nội bộ và cần có mật khẩu ngẫu nhiên. Tuy nhiên, do có lỗi, tất cả các phiên làm việc của một ứng dụng đều được tạo từ cùng một phiên bản ứng dụng có chung một mật khẩu.

DigitalOcean cho biết, lỗ hổng này có thể "khai thác từ xa", ảnh hưởng đến MySQL và một số ứng dụng khác sử dụng MySQL, bao gồm PHPMyAdmin, LAMP, LEMP, WordPress và OwnCloud.

Công ty sẽ phát hành một thông báo công khai về vấn đề này để đảm bảo những người dùng không ảnh hưởng.

DigitalOcean đã cung cấp một tập lệnh cho phép người dùng xác định xem Droplets của họ có bị ảnh hưởng hay không và cập nhật mật khẩu nếu cần. Tập lệnh này hoạt động trên Ubuntu 14, 16 và 17, và Debian 7 và 8. Trong khi đó Debian 9 không bị ảnh hưởng.

Khách hàng đã thay đổi mật khẩu của người dùng "debian-sys-maint" sau khi cài đặt ứng dụng 1-Click sẽ không bị ảnh hưởng bởi lỗ hổng và họ không cần thực hiện bất kỳ hành động nào.

DigitalOcean cho biết, công ty đã thay đổi 1- click để đảm bảo tất cả các Droplets trong tương lai sẽ có mật khẩu duy nhất, tự động tạo ra cho người dùng này.