安全公告-ODOO-SA-2017-01-27-1

digitalsatori

最近发生并持续进行中的暴力破解网上Odoo运行实例的问题

受影响者: 所有互联网可访问的拥有默认访问密码或弱密码保护的Odoo安装实例
发现者: Christophe Hanon
发现日期: January 27, 2017
OVE ID: OVE-20170127-0001

该问题需引起所有Odoo系统管理员高度重视，尤其是安装有可通过互联网访问的Odoo实例的个人或公司

下文是先安科技提供的简要中文版本，全文请参见：https://github.com/odoo/odoo/issues/15251

攻击者通过不同的IP地址对互联网上多个网段进行扫描以发现在多个常用端口（比如：8069，80， 443， 或其它）上对XML-RPC请求做应答的Odoo服务器。

已知的扫描攻击者IP: 164.132.96.170, 197.2.230.86
已知的攻击时段: 2017年1月19日 至 20171月27日 (并仍在继续！)

在定位到Odoo服务器后，攻击者会用默认密码admin/admin尝试登录（官方安全报告中只提到了使用默认密码的攻击，译者认为非常容易演化为字典攻击，就是所有简单密码都可以很快被暴力破解）

被攻击的机器可能在log里有多个尝试使用admin用户登录并失败的记录：

(...) Login failed for db:<DB_NAME> login:admin

如果被猜中密码，登录成功则会有:

(...) successful login from 'admin' using database '<DB_NAME>'

若被攻击者登录系统，攻击者会从Odoo的App Store下载：upload_github_odoo 恶意模块，Odoo公司在1月25日从其App Store移除了该恶意模块，之后攻击者再次以其它名字发布该模块，再次被移除。

被攻击者的log信息中会留下类似下面的记录：

(...) Downloading module <MODULE> from github
(...) Copy downloaded module <MODULE> to <LOCAL_PATH>

到这个阶段，您的Odoo服务器已经被彻底控制，攻击者可以通过XML-RPC对服务器执行任何指令。

当前Odoo公司已经紧急停止了通过App Store一键安装Odoo模块的服务，以防止攻击者通过更名方式上传恶意模块。（一键安装模块服务会在未来安全策略更新后重新推出）

请系统管理员根据以上的信息检查您安装的Odoo服务器，若发现有被攻击的现象请立即将服务器离线做进一步的检查分析。

mrshelly

B/S安全问题值得关注..

大家如有需要, 可以使用数字证书来应对...