SolusVMがTDN (Template Distribution Network)で提供していたDebian 10のテンプレートに脆弱性があり、実際に攻撃が確認されているようです。

私もいくつか利用中のプロバイダからメールが来て気づきましたが、LowEndTalkでも話題になっているようです。

LowEndTalk: Vulnerability in SolusVM Debian 10 template - “debianuser” backdoor/default user

具体的な内容としては、当該テンプレートに脆弱なパスワードを持つ debianuser というユーザがデフォルトで作成されたままになっていました。 テンプレートイメージのバージョンによってパスワードが異なっていたようです。

debianuser:$6$kijH77eZ7NwvPczi$Z5IREHzw54v6pZXUEH7O/Tl1EpJ5FvmYskjE.FLkpar/totIuKpA483XZVyQa0Jtkv8Om6IgOGo3/9f7yMtsx0:18190:0:99999:7:::

debianuser:$6$iywrJAKpLAgGntKq$n074dfRpLlcpKVYNOl0cLjbW5LnYh8AS/szYtR2GhrzvibWPrFdqmflyOjpWaBC4YnCvpqEgV3NZ2VPzqeNuM.:18190:0:99999:7:::

このユーザを狙ってSSH接続を試行し、暗号通貨のマイニングソフトを仕込むような攻撃が観測されているとのことです。このテンプレートでインストールした場合、デフォルトでパスワード認証が有効なsshdが起動していますので、そのまま運用している場合は非常に危険です。

SolusVMは配布しているテンプレートを修正しましたが、アナウンスの遅れなど対応が批判されています。一応、サポートページが公開されているようです。

Solus Help Center: [Vulnerability] VM created with Debian 10 template from TDN may be compromised via user debianuser

海外の格安VPSプロバイダを使う上で、デフォルトのテンプレートは信用ならんのでよっぽどのことが無い限り実運用に使うことは避けたほうが良いですね。信頼できるソースのイメージからインストールすることが、やはり大原則です。

それにしてもSolusVMは以前にも0day攻撃で大事故が起きて大騒ぎになったというのに、相変わらずの体制ですね。