Thứ Năm, ngày 28 tháng 3 năm 2024

Website nguồn mở Drupal bị lỗi lổ hổng bảo mật nghiêm trọng

Hệ thống quản trị nội dung Web Drupal CMS. Ảnh: Quốc Việt

(Thanhuytphcm.vn) – Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ Thông tin và Truyền thông, vừa phát cảnh báo đề nghị các cơ quan, đơn vị chuyên trách công nghệ thông tin, an toàn thông tin trên cả nước khẩn trương khắc phục lổ hổng bảo mật nghiêm trọng đối với các hệ thống website sử dụng hệ quản trị nội dung Drupal CMS.

Theo đó, VNCERT khuyến nghị các cơ quan, đơn vị chú ý 2 lỗ hổng an toàn thông tin. Trong đó, một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002). Theo đánh giá, mức độ nguy hiểm của lỗ hổng CVE-2018-7600 (SA-CORE-2018-002) là nghiêm trọng. Lỗ hổng này cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện… Lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal. Hiện nay, đã ảnh hưởng trên diện rộng, một số hacker đã khai thác lỗ hổng để phục vụ đào tiền ảo.

Lỗ hổng thứ 2 được VNCERT đề nghị các cơ quan, tổ chức chú ý là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003). Lỗi Cross Site Scriptting được đánh giá có mức độ nghiêm trọng ở mức cao, VNCERT phân tích, ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này đã xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scriptting (XSS). Lỗ hổng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).

Để khắc phục từng lỗ hổng, VNCERT đưa ra hướng dẫn thực hiện như sau:

Với lỗ hổng CVE-2018-7600/SA-CORE-2018-002, Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng này, quản trị hệ thống cần xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal: khi sử dụng Drupal 7.x cần nâng cấp lên phiên bản 7.5.8; sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.1;

Nếu đang sử dụng các phiên bản Drupal 8.3 hoặc 8.4 thì cần nhanh chóng nâng cấp lên phiên bản 8.5.1. Trong trường hợp không thể thực hiện thì có thể sử dụng 2 biện pháp tạm thời gồm: nếu đang sử dụng Drupal 8.3.x thì nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá; nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá “Tuy nhiên, các biện pháp tạm thời này vẫn còn tiềm ẩn nhiều rủi ro khác”, VNCERT lưu ý.

Ngoài giải pháp cập nhật Drupal, VNCERT cũng khuyến nghị các cơ quan, đơn vị các giải pháp hỗ trợ khác để xử lý, khắc phục lỗ hổng CVE-2018-7600/SA-CORE-2018-002 như: thiết lập thiết bị IPS, tường lửa bảo vệ 7 lớp hoặc tường lửa bảo vệ ứng dụng web (web application firewall) và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng. Với các thiết bị chưa được nhà sản xuất cập nhật khả năng ngăn chặn tấn công CVE-2018-7600/SA-CORE-2018-002, các cơ quan, đơn vị tham khảo đoạn mã phát hiện tấn công được viết cho phần mềm phát hiện xâm nhập nguồn mở Snort.

Trường hợp khắc phục lỗ hổng SA-CORE-2018-003, giải pháp xử lý VNCERT khuyến nghị các cơ quan, đơn vị là: sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7; sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN; nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng (như sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1 thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ http://ckeditor.com/ckeditor-4/download/

Cũng theo VNCERT, việc cập nhật phần mềm Drupal cho các Trang/Cổng thông tin điện tử có thể dẫn đến một số trục trặc, trong khi đó Drupal là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Vì vậy, các cơ quan, đơn vị cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

Trước diễn biến mới về tình hình tấn công vào lỗ hổng của các hệ thống website, đặc biệt khai thác lổ hổng Drupal; để đảm bảo công tác an toàn thông tin đặc biệt trong các ngày kỷ niệm cuối tháng 4, Trung tâm VNCERT đề nghị chủ quản hệ thống thông tin tại các cơ quan, đơn vị thực hiện nghiêm tinh thần công văn 109, cũng như tăng cường, giám sát nhằm ngăn chặn kết nối đến các máy chủ điều khiển khai thác thông tin trái phép; thường xuyên rà soát kiểm tra hệ thống để phát hiện kịp thời và xử lý các tệp tin mã độc.

Hệ thống Drupal CMS là hệ quản trị nội dung mã nguồn mở được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, Website cho các cơ quan, đơn vị, với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL.

Quốc Việt

Ý kiến bạn đọc

refresh
 

Tổng lượt bình luận

Tin khác

Thông báo