Cảnh báo lỗ hổng báo mật trên Drupal cho phép tin tặc tấn công từ xa
TheảnhbáolỗhổngbáomậttrênDrupalchophéptintặctấncôngtừđội hình mainz gặp bayerno VNCERT, hệ thống quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, ứng dụng web (gọi chung là website) cho các cơ quan, đơn vị, với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL.
Chỉ riêng từ cuối tháng 3/2018 đến nay Drupal đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao ở mức nghiêm trọng cần được theo dõi, xử lý khẩn cấp.
VNCERT cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal |
Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, VNCERT nhận thấy, thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ Trang/Cổng thông tin điện tử được phát triển trên nền tảng Drupal.
Điều này dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Lỗ hổng Drupal nguy hiểm mức nào?
Hai lỗ hổng được VNCERT liệt kê ở mức độ nghiêm trọng là: Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution) và Lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting).
Remote Code Execution (Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002) cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện v.v.., lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal.
Hiện nay ảnh hưởng trên diện rộng đã có một số hacker khai thác lỗ hổng Drupal để phục vụ đào tiền ảo.
Khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống.
Kỹ thuật khai thác rất dễ thực hiện, không yêu cầu bất cứ điều kiện gì kèm thêm. Không yêu cầu quyền truy cập hệ thống. Tin tặc có thể sửa và xóa dữ liệu.
Máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.
Cross Site Scriptting (Mã lỗi quốc tế là SA-CORE-2018-003) cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).
VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal.
Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho các lỗ hổng, quản trị hệ thống xem xét xử lý theo hướng dẫn từ Drupal.
Cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro. Do Drupal là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế.
H.N. - Lê Tuấn Đạt - Xuân Quý
相关推荐
-
Nhận định, soi kèo Al Jubail vs Al Bukayriyah, 21h55 ngày 27/1: Chủ nhà thất thế
-
Soi kèo phạt góc MU vs Man City, 19h30 ngày 14/1
-
Nhận định, soi kèo Andorra vs Malta, 1h45 ngày 11/9: Kém cỏi như nhau
-
Hóa trang cho Tôn Ngộ Không trong 'Tây du ký' công phu như thế nào?
-
Nhận định, soi kèo Persiku Kudus vs Persewar Waropen, 15h00 ngày 28/1: Khách ‘tạch’
-
VTV mong khán giả thông cảm vụ thí sinh uống axit
- 最近发表
-
- Soi kèo phạt góc Barca vs Valencia, 03h00 ngày 27/1
- Soi kèo phạt góc Thụy Điển vs Iceland, 01h00 ngày 13/1
- Nhận định, soi kèo Burkina Faso vs Malawi, 2h00 ngày 11/9: Mạnh được yếu thua
- “Gái hư”, hot girl, diễn viên thi nhau cởi đồ trên sân khấu
- Siêu máy tính dự đoán Venezia vs Hellas Verona, 0h30 ngày 28/1
- Huy Tuấn lý giải vì sao không dừng tiết mục uống axit ngay
- Soi kèo phạt góc Nữ WS Wanderers vs Nữ Melbourne City, 12h ngày 8/1
- Soi kèo phạt góc Shanghai Port vs Zhejiang, 15h30 ngày 11/1
- Nhận định, soi kèo Toulouse vs Montpellier, 23h15 ngày 26/1: Khó có bất ngờ
- Nhận định, soi kèo Gabon vs CH Trung Phi, 23h00 ngày 10/9: Ba điểm ở lại
- 随机阅读
-
- Soi kèo góc Venezia vs Hellas Verona, 0h30 ngày 28/1
- Nhận định, soi kèo Dominican Republic vs Dominica, 22h00 ngày 10/9: Bất ngờ?
- Trọng Lân nói gì khi bị gắn biệt danh diễn viên chuyên trị vai mất nết
- Soi kèo phạt góc Shanghai Port vs Zhejiang, 15h30 ngày 11/1
- Nhận định, soi kèo Rayo Vallecano vs Girona, 20h00 ngày 26/1: Chủ nhà thắng thế
- Soi kèo phạt góc Celta Vigo vs Villarreal, 3h ngày 14/1
- Soi kèo phạt góc Thụy Điển vs Iceland, 01h00 ngày 13/1
- Soi kèo phạt góc Nữ WS Wanderers vs Nữ Western United, 11h00 ngày 14/1
- Nhận định, soi kèo AVS Futebol vs Gil Vicente, 3h15 ngày 28/1: Khó cho tân binh
- Soi kèo phạt góc Antalyaspor vs Giresunspor, 17h30 ngày 14/1
- Nhặt sạn ở đêm chung kết đấu trường nhan sắc Việt
- Ariana Grande, Miley Cyrus, Lana Del Rey tung MV nhạc phim 'Charlie's Angels'
- Nhận định, soi kèo Sociedad vs Getafe, 22h15 ngày 26/01: Điểm tựa sân nhà
- Soi kèo phạt góc Betis vs Barcelona, 2h ngày 13/1
- Ly kỳ chuyện tình dang dở của Đường Tăng trong Tây du ký 1986
- Lê Khánh làm MC chương trình hài
- Nhận định, soi kèo RANS vs Persipura, 15h00 ngày 28/1: Chủ nhà thất thế
- Soi kèo phạt góc PSG vs Angers, 3h00 ngày 12/1
- MC Thùy Linh rực rỡ bên đào Nhật Tân
- Soi kèo phạt góc Antalyaspor vs Giresunspor, 17h30 ngày 14/1
- 搜索
-
- 友情链接
-