Cảnh báo: lỗ hổng an toàn thông tin trên hệ quản trị nội dung Drupal

(26/04/2018)
Drupal-một nền tảng mã nguồn mở được dùng rộng rãi trên thế giới và cũng được rất nhiều website tại Việt Nam sử dụng, hiện đang tồn tại lỗ hổng bảo mật nghiêm trọng cho phép hacker có thể chiếm quyền điều khiển máy chủ. Các cơ quan, đơn vị quan tâm kiểm tra để phát hiện, xử lý triệt để các lỗi của những website có sử dụng Drupal

Theo thống kê trong tổng số khoảng 1.000 website Drupal tại Việt Nam được quét, có đến hơn 500 website vẫn đang sử dụng phiên bản Drupal có lỗ hổng và có khả năng bị hacker khai thác, trong đó có nhiều website quan trọng của các ngân hàng, tập đoàn công nghệ, các trường đại học, và cả các website cơ quan nhà nước….

Hệ thống quản trị nội dung Drupal (Drupal CMS) có ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL. Mới đây, một lỗ hổng nghiêm trọng với tên gọi Drupalgeddon2 (mã CVE-2018-7600) đã được phát hiện trong các phiên bản từ 6 đến 8 của nền tảng Drupal. Lỗ hổng nghiêm trọng này cho phép hacker có thể chiếm toàn quyền kiểm soát website. Cụ thể, theo phân tích của các chuyên gia, lỗ hổng nằm ở tính năng Form API trong core của Drupal, hacker có thể chèn và thực thi các đoạn mã tùy ý mà không cần xác thực thông qua các biến (param) trên đường dẫn của website.


Trong năm 2017 và các tháng đầu năm 2018, Drupal đã công bố 7 lỗ hổng bảo mật. Tuy nhiên, chỉ riêng từ cuối tháng 3/2018 đến nay Drupal đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao ở mức nghiêm trọng cần được theo dõi, xử lý khẩn cấp: một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002), được công bố ngày 28/3/2018.

Theo đánh giá, mức độ nguy hiểm của lỗ hổng CVE-2018-7600 (SA-CORE-2018-002) là nghiêm trọng. Lỗ hổng này cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện… Lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal. Hiện nay, đã ảnh hưởng trên diện rộng, một số hacker đã khai thác lỗ hổng để phục vụ đào tiền ảo.

Lố hổng nguy hiểm thứ hai là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003), được công bố ngày 18/4/2018. Lỗi Cross Site Scriptting được đánh giá có mức độ nghiêm trọng ở mức cao.

Đề cập đến ảnh hưởng của lỗ hổng SA-CORE-2018-003, cơ quan nghiên cứu đã phân tích, ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này đã xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scriptting (XSS). Lỗ hổng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).

Hướng dẫn các giải pháp xử lý khắc phục đối với từng lỗ hổng

Với lỗ hổng CVE-2018-7600/SA-CORE-2018-002, Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng này, quản trị hệ thống cần xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal: khi sử dụng Drupal 7.x cần nâng cấp lên phiên bản 7.5.8; sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.1. Ngoài giải pháp cập nhật Drupal người dùng cần thiết lập thiết bị IPS, tường lửa bảo vệ 7 lớp hoặc tường lửa bảo vệ ứng dụng web (web application firewall) và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng.

Đối với lỗ hổng SA-CORE-2018-003, các cơ quan, đơn vị cần phải thực hiện: nếu đang sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7; sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN; nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng (như sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1 thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ http://ckeditor.com/ckeditor-4/download/

Theo securitybox.vn


Tin khác