安全公告-ODOO-SA-2017-01-27-1
-
最近发生并持续进行中的暴力破解网上Odoo运行实例的问题
受影响者: 所有互联网可访问的拥有默认访问密码或弱密码保护的Odoo安装实例
发现者: Christophe Hanon
发现日期: January 27, 2017
OVE ID: OVE-20170127-0001该问题需引起所有Odoo系统管理员高度重视,尤其是安装有可通过互联网访问的Odoo实例的个人或公司
下文是先安科技提供的简要中文版本,全文请参见:https://github.com/odoo/odoo/issues/15251
攻击者通过不同的IP地址对互联网上多个网段进行扫描以发现在多个常用端口(比如:8069,80, 443, 或其它)上对XML-RPC请求做应答的Odoo服务器。
已知的扫描攻击者IP: 164.132.96.170, 197.2.230.86
已知的攻击时段: 2017年1月19日 至 20171月27日 (并仍在继续!)在定位到Odoo服务器后,攻击者会用默认密码admin/admin尝试登录(官方安全报告中只提到了使用默认密码的攻击,译者认为非常容易演化为字典攻击,就是所有简单密码都可以很快被暴力破解)
被攻击的机器可能在log里有多个尝试使用admin用户登录并失败的记录:
(...) Login failed for db:<DB_NAME> login:admin
如果被猜中密码,登录成功则会有:
(...) successful login from 'admin' using database '<DB_NAME>'
若被攻击者登录系统,攻击者会从Odoo的App Store下载:
upload_github_odoo恶意模块,Odoo公司在1月25日从其App Store移除了该恶意模块,之后攻击者再次以其它名字发布该模块,再次被移除。被攻击者的log信息中会留下类似下面的记录:
(...) Downloading module
<MODULE>from github
(...) Copy downloaded module<MODULE>to<LOCAL_PATH>到这个阶段,您的Odoo服务器已经被彻底控制,攻击者可以通过XML-RPC对服务器执行任何指令。
当前Odoo公司已经紧急停止了通过App Store一键安装Odoo模块的服务,以防止攻击者通过更名方式上传恶意模块。(一键安装模块服务会在未来安全策略更新后重新推出)
请系统管理员根据以上的信息检查您安装的Odoo服务器,若发现有被攻击的现象请立即将服务器离线做进一步的检查分析。
