安全公告-ODOO-SA-2017-01-27-1


  • 管理员

    最近发生并持续进行中的暴力破解网上Odoo运行实例的问题

    受影响者: 所有互联网可访问的拥有默认访问密码或弱密码保护的Odoo安装实例
    发现者: Christophe Hanon
    发现日期: January 27, 2017
    OVE ID: OVE-20170127-0001

    该问题需引起所有Odoo系统管理员高度重视,尤其是安装有可通过互联网访问的Odoo实例的个人或公司

    下文是先安科技提供的简要中文版本,全文请参见:https://github.com/odoo/odoo/issues/15251

    攻击者通过不同的IP地址对互联网上多个网段进行扫描以发现在多个常用端口(比如:8069,80, 443, 或其它)上对XML-RPC请求做应答的Odoo服务器。

    已知的扫描攻击者IP: 164.132.96.170, 197.2.230.86
    已知的攻击时段: 2017年1月19日 至 20171月27日 (并仍在继续!)

    在定位到Odoo服务器后,攻击者会用默认密码admin/admin尝试登录(官方安全报告中只提到了使用默认密码的攻击,译者认为非常容易演化为字典攻击,就是所有简单密码都可以很快被暴力破解)

    被攻击的机器可能在log里有多个尝试使用admin用户登录并失败的记录:

    (...) Login failed for db:<DB_NAME> login:admin

    如果被猜中密码,登录成功则会有:

    (...) successful login from 'admin' using database '<DB_NAME>'

    若被攻击者登录系统,攻击者会从Odoo的App Store下载:upload_github_odoo 恶意模块,Odoo公司在1月25日从其App Store移除了该恶意模块,之后攻击者再次以其它名字发布该模块,再次被移除。

    被攻击者的log信息中会留下类似下面的记录:

    (...) Downloading module <MODULE> from github
    (...) Copy downloaded module <MODULE> to <LOCAL_PATH>

    到这个阶段,您的Odoo服务器已经被彻底控制,攻击者可以通过XML-RPC对服务器执行任何指令。

    当前Odoo公司已经紧急停止了通过App Store一键安装Odoo模块的服务,以防止攻击者通过更名方式上传恶意模块。(一键安装模块服务会在未来安全策略更新后重新推出)

    请系统管理员根据以上的信息检查您安装的Odoo服务器,若发现有被攻击的现象请立即将服务器离线做进一步的检查分析。



  • B/S安全问题值得关注..

    大家如有需要, 可以使用数字证书来应对...


登录后回复
 

与 Odoo 中文社区 的连接断开,我们正在尝试重连,请耐心等待