VnCert cảnh báo khẩn lỗ hổng an toàn thông tin Drupal

08:42, Thứ Ba, 24/04/2018 (GMT+7)

(XHTT) - Ngày 23/4/2018, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCert) đã có công văn khẩn gửi tới các đơn vị chuyên trách về CNTT, ATTT: Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ;...cảnh báo về lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal.

Hệ quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các trang/cổng thông tin điện tử, ứng dụng web (gọi chung là Website) cho các cơ quan đơn vị với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại CSDL như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các CSDL NoSQL.

Trong hai năm 2017 và 2018, Drupal đã công bố 7 lỗ hổng bảo mật, nhưng chỉ riêng từ cuối tháng 3 đến nay đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao đến nghiêm trọng cần được theo dõi xử lý khẩn cấp. Số lượng website Drupal tại Việt Nam là khá nhiều nhưng Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức Ngân hàng, tài chính.

Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, VnCert nhận thấy thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận thành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ cổng/trang thông tin điển tử được phát triển trên nền tảng Drupal nên dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng an toàn thông tin đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.

Vì vậy, các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal. Trong trường hợp có website sử dụng Drupal, VnCert khuyến cáo cần chú ý hai lỗ hổng an toàn gồm lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trải phép. Lỗ hổng này có mã lỗi quốc tế là CVE-2018-7600 hoặc SA CORE-2018-002 có mức độ nghiêm trọng. Khi khai thác thành công lỗ hổng này, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống. Kỹ thuật khai thác này dễ thực hiện, không yêu cầu bất cứ điều kiện gì kèm thêm, không yêu cầu quyền truy cập hệ thống, có thể sửa và xóa dữ liệu. Máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.

Lỗ hổng thứ hai là tấn công kịch bản liên trang với mã lỗi quốc tế SA-CORE-2018-003. Ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này đã xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scripting (XSS). Lỗ hồng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2.

Ngoài ra, VnCert cho biết, việc cập nhật phần mềm Drupal cho các website/cổng thông tin điện tử có thể dẫn đến một số trục trặc trong khi đó, đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

Để biết thêm thông tin chi tiết và các xử lý, các đơn vị có thể xem toàn bộ công văn khẩn của VnCert được đăng tải tại đây.

P.V

.
.
.

.
.
.