#安全资讯 CloudCone 被黑事件后续：你以为他们很专业，其实都是业余玩家，甚至在工单中提交明文 root 密码。根据 Virtualizor 发布的私下回复，此次攻击源头在于 Virtualizor 工单系统被黑，里面有 1500 多个工单被黑客查看，部分工单包含下游 VPS 服务器提供商提交的明文 root 密码，且长期不更换已经暴露的密码，还没有设置白名单 IP 访问。查看全文：https://ourl.co/111724

美国廉价服务器提供商 CloudCone 早前遭到黑客攻击，导致该服务器提供商位于洛杉矶机房的部分节点被黑，用户使用的小鸡引导磁盘被勒索信息覆盖导致无法启动。

CloudCone 采取的解决方案就是直接重新部署节点，也就是重新安装物理机上的操作系统并重新部署虚拟化，代价就是用户数据全部丢失并且没有恢复的可能性。

蓝点网网友提供的消息显示当前已经有部分洛杉矶小鸡重新上线，部分用户的小鸡还没有恢复，可能是节点重新部署需要时间，用户只能继续等待小鸡的恢复。

在事件公告中 CloudCone 提到此次被黑事件与其使用的虚拟化管理面板 Virtualizor 有关系，但并没有透露是漏洞还是什么原因，Virtualizor 主要运行在母鸡上用来开通、管理和监控小鸡。

此次攻击的源头是 Virtualizor 工单系统被黑：

英国服务器提供商 Hosteroid (也使用该面板) 提供与 Virtualizor 的邮件沟通截图，邮件内容显示此次攻击的真正源头是 Virtualizor 的工单系统被黑。

Virtualizor 称有黑客团队利用会话劫持攻击获得其工单系统的访问权限，此次攻击是黑客精心策划的，因为 Virtualizor 工单系统各类身份验证都已经启用 2FA 或 MFA 验证。

而攻击者的目标则是工单系统中发送的明文 root 密码，有超过 1500 个支持工单被黑客查看，并非所有工单都包含明文密码，但 Virtualizor 已经通知所有受影响的下游 VPS 服务器提供商。

诸如 CloudCone 也存在安全缺陷：

Virtualizor 称对受影响服务器进行取证分析后发现两个关键的安全漏洞：

第一个是被攻击的服务器超过 1 年没有更换过密码，也就是 VPS 服务器提供商通过明文提交 root 密码并在问题解决后并没有及时修改密码，这导致密码长期暴露给 Virtualizor 的工程师以及潜在的黑客。

第二个是 VPS 服务器提供商的网络边界安全防护不足，受影响的节点并没有对 Virtualizor 管理面板和 SSH 服务配置白名单 IP，也就是任何 IP 都能通过 root 密码连接。

还有个问题就比较低级了，Virtualizor 支持工单系统有加密表单工具，正常情况下客户应该通过加密表单提交 SSH 密码，而不是直接把 root 密码以明文形式发送给 Virtualizor 支持工程师。

建议 VPS 服务器提供商立即强制加固：

立即轮换密码：对于已经收到邮件通知的 VPS 服务器提供商，应该立即修改 root 密码防止服务器被攻击。

实施访问限制：必须配置防火墙规则，仅允许从已知的、受信任的 IP 地址访问 Virtualizor 管理面板和 SSH

迁移工单系统：此事件后 Virtualizor 更换了工单系统，新系统使用 SSH 密钥而非密码，同时只创建临时账户给工程师排查问题，账户和密钥也会在 7 天后自动删除，临时账户也只能通过特定的 VPN 隧道 IP 访问，相当于实施强制的白名单。

最后针对此次事件 Virtualizor 已经编辑所有支持工单并将明文 root 密码或者其他敏感凭据删除，确保不再存在任何历史遗留风险，后续也不会再收集 root 权限信息。

针对会话劫持攻击等问题，Virtualizor 将迁移到 UEM 管理的硬件以及在多个访问级别上启用 3FA 和 MFA 验证，确保内部环境能够抵御类似的会话劫持方法。

蓝点网的小疑问：

Virtualizor 并没有透露会话劫持攻击的具体细节，会话劫持攻击通常指的是窃取会话凭证 (Session ID) 和 Cookie，利用这些信息可以绕过密码以及 2FA 验证 (因为 Cookie 本身就是已经通过验证的账户生成的)。

如果是会话劫持攻击的话，那意味着 Virtualizor 支持工程师肯定在某个环节遭到了针对性攻击，这可能是安装恶意扩展程序、访问钓鱼网站 (利用 XSS 跨站脚本) 或者通过其他方式对工程师进行钓鱼。

由于 Virtualizor 没有进行说明，只是将重点问题归咎于 VPS 服务器提供商在工单中提交明文 root 密码 (这看起来确实是很低级的错误)，或许 Virtualizor 也应该公布自己的内部调查结果并加强员工安全培训。