SQL injection per SolusVM: una falla capace di mandare in tilt centinaia di VPS

Nei giorni scorsi, SolusVM è stato vittima di una SQL injection capace di offrire accesso al database e di lasciare in mani poco raccomandabili i server VPS master, prendendone il controllo con i privilegi di root per eseguire codice malevolo o cancellare completamente i nodi VPS

SQL injectionUna grave falla di sicurezza ha colpito nei giorni scorsi centinaia di provider hosting e i loro clienti dei servizi VPS. Tutte le aziende che si trovano a lavorare e proporre offerte gestite attraverso il pannello SolusVM si sono ritrovate come in un incubo, a causa di un attacco di SQL injection che ha permesso ad abili hacker di effettuare delle query SQL a piacimento sui diversi database dei server master, offrendo ovviamente anche la possibilità di prendere il pieno controllo del server stesso con i privilegi di root.

Il bug di sicurezza è stato individuato a livello di file centralbackup.php disponibile nel percorso /usr/local/SolusVM/www/, tanto che il produttore ha fornito in modo rapido una patch, consigliando anche ad alcuni clienti che fossero impossibilitati nell’aggiornamento di procedere direttamente alla cancellazione del file vulnerabile via SSH.

Il primo ad essere stato preso di mira è il provider RamNode, che nell’arco di un paio di ore ha visto sparire moltissimi nodi VPS e con essi altrettanti dati. Voci non confermate, riportate da alcune testate tedesche come heiseSecurity, parlano di un numero di server virtuali colpiti che dovrebbe aggirarsi intorno alle 3000.

Il servizio clienti e l’assistenza tecnica di RamNode hanno lavorato sodo per recuperare i backup dei clienti, in modo da ripristinare dati e servizi e farli tornare online nel più breve tempo possibile.

C’è però anche chi insinua il dubbio che le password create attraverso SolusVM vengano in realtà conservate come testo, almeno nella configurazione predefinita. Se questo fosse vero, l’attacco avrebbe potuto generare una fuga di informazioni importantissima, i cui danni non possono essere valutati nel breve termine, ma si vedranno in seguito sul lungo periodo. Lo stesso staff di RamNode, nell’annuncio ufficiale, sottolinea esplicitamente che qualsiasi password modificata o creata via SolusVM è da considerarsi compromessa.

A conferma della possibilità di visionare le password degli utenti in modo decriptato, è stata anche pubblicata online una procedura disponibile su localhost.re, che suggerisce la procedura per avviare l’exploit e le modalità per eseguire qualsiasi tipo di comando su tutti i nodi.

Secondo il produttore, a essere affette dal bug sarebbero tutte le versioni di SolusVM, compresa la versione beta della prossima release 1.14.

Il consiglio, dunque, è quello di applicare la patch ufficiale e procedere con l’esecuzione costante di backup periodici e frequenti dei VPS, per far fronte immediatamente a situazioni del genere e garantirsi l’opportunità di ripristinare lo stato di lavoro del VPS nel più breve tempo possibile.