C’è una storia di vulnerabilità e sicurezza che mi ha incuriosito.
Su Servermanaged.it vengo a sapere di questa vulnerabilità che riguarderebbe i sistemi Linux basati sul kernel RedHat, che si individua con la presenza nel sistema della libreria “libkeyutils.so.1.9“.
Ma non è questo il punto.
La cosa davvero curiosa, e un pochino pure preoccupante, la leggo pochi giorni dopo sempre su Servermanaged.it.
In pratica uno dei tanti sistemi colpiti è un server del supporto tecnico del noto cPanel, dove sono conservate numerose credenziali di amministrazione di quanti hanno aperto un ticket per il noto pannello di controllo.
cPanel Inc si è premurata di avvisare tutti coloro che hanno aperto un ticket negli ultimi 6 mesi, fornendo le credenziali di amministrazione del sistema, farebbero bene a cambiarle al più presto, e di cambiare pure le chiavi SSH se il sistema di autenticazione utilizzato è passwordless.
In pratica questi di cPanel, e immagino pure che non siano i soli, conservano le credenziali di accesso dei clienti anche dopo la chiusura del ticket.
E sorvoliamo pure sul come mai le conservino una volta chiusi i ticket.
Morale della favola:
- Verifica di non avere nei tuoi sistemi la libreria libkeyutils.so.1.9. Male non fa…
- Se hai aperto un ticket su cPanel, e le credenziali sono sempre le stesse, cambiale subito. Password cazzute, mi raccomando.
- Se hai apre un ticket di supporto per qualsiasi cosa, sistema operativo, pannello di controllo o applicativo che sia, o se per qualche motivo hai dato le credenziali di amministratore a qualche tecnico, cambiare le credenziali! (Se il problema questo giro ha coinvolto cPanel, perché gli altri dovrebbero comportarsi diversamente?)
- Cambiare le password, spesso, e pure cazzute, comunque!
Io, giusto per scrupolo, ho verificato la presenza della libreria in questione nei sistemi che amministro, anche in quelli non basati su kernel RedHat. Hai visto mai…
Il tutto è stato ispirato, e potete ricavarne maggiori informazioni, da questi link:
Una risposta
Che poi se solo si prendesse l’abitudine di creare utenti ad hoc alla bisogna e cancellarli uno almeno sta tranquillo.
Fermo restando che la buona norma di avere password cazzute è sempre prioritaria.