Alle versies van de SolusVM-software zijn kwetsbaar, ook de bèta-releases van de aankomende versie 1.14, waarschuwen de makers van de beheersoftware voor hosters. Gebruikers krijgen het advies om onmiddelijk actie te ondernemen om hun SolusVM-installatie dicht te timmeren. Het gevonden gat is namelijk geopenbaard compleet met exploitcode. Bovendien wordt het in de praktijk al misbruikt.

Volledig overnemen

Het gaat om een geval van SQL-injection waarbij een kwaadwillende commando's kan invoeren in de draaiende SQL-database. Vervolgens kan de aanvaller eigen code uitvoeren op de server, met daarbij rootrechten. Eenmaal langs deze weg binnengekomen zijn commando's uit te voeren op alle virtuele machines die op de gepwnde server draaien. Ook zouden de niet-versleutelde wachtwoorden van gebruikers gewoon in te zien zijn.

Het Soluslabs Security Team heeft gebruikers per mail geïnformeerd. Daarin worden instructies aangedragen voor een tijdelijke fix. Deze is het handmatig deleten van het bestand centralbackup.php op de SolusVM-masterserver. "Dit bestand bestaat alleen op de master server en de slaves zijn niet geraakt", aldus de waarschuwingsmail van zondag.

Patches uit, mogelijk meer

Vandaag zijn er patches uitgebracht, voor zowel de stabiele als de bèta-release. Het securityteam meldt daarbij ook dat het een volledige audit uitvoert van de softwarecode. Mogelijk zorgt dit weer voor nieuwe updates, die dan in snelle opeenvolging uitgebracht worden, beloven de ontwikkelaars van SolusVM.