天河一号超级计算机集群存在漏洞。
天河一号官方回应。
根据五云平台发布的最新高风险漏洞,天河一号超级计算机集群可登录可控制(所有节点均可发出任务执行命令,数百个账号或泄密)。
这是一个叫zph的白帽黑客,2月12日向五云平台提交了一个高风险漏洞。他发现天河运行在内网上,其办公环境中的Wi-Fi是开放的,任何人都可以轻松绕过VPN接入其内网。同时,白帽还发现,服务器上近一半的用户密码较弱,这一系列问题可能导致用户电脑任务的敏感信息泄露。
据五云平台称,该漏洞的细节已由第三方合作机构(cncert国家互联网应急中心)处理,更多细节尚未得知。该漏洞的详细信息已于2月12日通知制造商,正在等待制造商处理。细节于3月29日公开。
目前,天河一号官方已回复五云平台:非常感谢您的反馈!相关问题已得到处理。问题是专线用户安全管理不当造成的,已责成专线用户处理。采取的措施包括:将专线与互联网隔离,指导用户加强密码,删除系统中的临时账户。目前,用户通过登录节点提交有限资源阈值下的任务是系统允许的合法操作,后续将加强用户行为分析和预警。
