Rss Feed
Xây dựng phong cách người CAND bản lĩnh
Tuyên truyền phổ biến, giáo dục pháp luật
Bông Hồng Xanh
tap chi

Thống kê

  • Đang truy cập: 27
  • Khách viếng thăm: 26
  • Máy chủ tìm kiếm: 1
  • Hôm nay: 2592
  • Tháng hiện tại: 141750
  • Tổng lượt truy cập: 3356785

VNCERT cảnh báo lỗ hổng bảo mật trên hệ quản trị nội dung Drupal

Đăng lúc: Chủ nhật - 29/04/2018 19:04 - Người đăng bài viết: Tạp Chí
Ngày 23/4/2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã phát cảnh báo về 2 lỗ hổng bảo mật nghiêm trọng trên hệ quản trị nội dung Drupal.
        Hệ thống quản trị nội dung mã nguồn mở Drupal (Drupal CMS) là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, ứng dụng web (gọi chung là website) cho các cơ quan, đơn vị. Với ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL. Tại Việt Nam, Drupal thường được sử dụng phổ biến đối với các website có quy mô vừa và nhỏ, ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức Ngân hàng, tài chính.
        Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, VNCERT nhận thấy, thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên các đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không nắm rõ Trang/Cổng thông tin điện tử được phát triển trên nền tảng Drupal. Do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin. Chính vì vậy, VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal. 
        Tính từ năm 2017 tới nay, Drupal đã công bố 7 lỗ hổng bảo mật. Riêng từ cuối tháng 3/2018, Drupal đã phát hiện tồn tại 2 lỗ hổng bảo mật có mức độ nghiêm trọng cần được theo dõi, xử lý khẩn cấp. Cụ thể: 

 

        Lỗ hổng thứ nhất là SA-CORE-2018-002 (hoặc CVE-2018-7600) cho phép thực thi các lệnh điều khiển từ xa trái phép được công bố ngày 28/3/2018. Lỗ hổng này cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện… tồn tại trên nhiều phiên bản khác nhau của Drupal. Trong thực tế đã ghi nhận, tin tặc đã khai thác lỗ hổng này để phục vụ đào tiền ảo.
        Lỗ hổng thứ hai là SA-CORE-2018-003 - liên quan đến các cuộc tấn công kịch bản liên trang (Cross Site Scripting), được công bố ngày 18/4/2018. Lỗ hổng này tồn tại trong ứng dụng CKEditor - là ứng dụng xây dựng trên nền tảng Java Script được tích hợp trong phần mềm Drupal. Tin tặc có thể thực thi tấn công XSS thông qua CKEditor khi sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).
        Theo đó, VNCERT đưa ra các giải pháp xử lý, khắc phục đối với từng lỗ hổng.
        Với lỗ hổng SA-CORE-2018-002, VNCERT cho biết, Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng này, quản trị hệ thống cần xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal. Nếu sử dụng Drupal 7.x cần nâng cấp lên phiên bản 7.5.8; sử dụng phiên bản Drupal 8.3, 8.4, 8.5.x thì cập nhật lên phiên bản 8.5.1. Trong trường hợp không thể thực hiện thì có thể sử dụng 2 biện pháp tạm thời gồm: nếu đang sử dụng Drupal 8.3.x thì nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá; nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá. Tuy nhiên, các biện pháp tạm thời này vẫn còn tiềm ẩn nhiều rủi ro mất an toàn thông tin khác.
        Ngoài giải pháp cập nhật Drupal, VNCERT cũng khuyến nghị các cơ quan, đơn vị các giải pháp hỗ trợ khác để xử lý, khắc phục như: thiết lập thiết bị IPS, tường lửa bảo vệ 7 lớp hoặc tường lửa bảo vệ ứng dụng web (web application firewall) và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng. Với các thiết bị chưa được nhà sản xuất cập nhật khả năng ngăn chặn tấn công SA-CORE-2018-002, các cơ quan, đơn vị tham khảo đoạn mã phát hiện tấn công được viết cho phần mềm phát hiện xâm nhập nguồn mở Snort.
 

        Đối với lỗ hổng SA-CORE-2018-003, nếu sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7; sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN; nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng (như sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1 thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ http://ckeditor.com/ckeditor-4/download/.
        Do Drupal là phần mềm mã nguồn mở, nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Trong quá trình cập nhật dễ xảy ra những sai sót. Vì vậy, các cơ quan, đơn vị cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.
Tác giả bài viết: M.T (Theo VNCERT)
Nguồn tin: antoanthongtin.vn
Đánh giá bài viết
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Ý kiến bạn đọc

 

Văn bản mới

Số: 991/BGDĐT-QLCL
Tên: (Về việc hướng dẫn thực hiện Quy chế thi THPT quốc gia và xét công nhận tốt nghiệp THPT năm 2018)

Ngày BH: (14/03/2018)

Số: Số: 430/QĐ-BCA-V19
Tên: (Ban hành Kế hoạch thực hiện dân chủ trong Công an nhân dân năm 2018)

Ngày BH: (28/01/2018)

Số: Số: 304/T48
Tên: (V/v khảo sát chất lượng đào tạo của Nhà trường)

Ngày BH: (13/03/2018)

Số: 13/2017/QH14
Tên: (Luật Cảnh vệ)

Ngày BH: (19/06/2017)

Số: Chỉ thị số 13-CT/TW
Tên: (Về tăng cường sự lãnh đạo của đảng đối với công tác quản lý, bảo vệ và phát triển rừng)

Ngày BH: (11/01/2017)

Số: Thông tư 49/2017/TT-BCA
Tên: (Quy định chi tiết chế độ bồi dưỡng giám định tư pháp trong lĩnh vực kỹ thuật hình sự; thành phần, số người thực hiện nhiệm vụ khi giám định đối với trường hợp khám nghiệm tử thi, mổ tử thi và khai quật tử thi)

Ngày BH: (25/10/2017)

Số: Chỉ thị số 14-CT/TW
Tên: (Tăng cường sự lãnh đạo của Đảng đối với công tác người có công với cách mạng)

Ngày BH: (18/07/2017)

Số: 1884/QyĐ-T48
Tên: (Quy định về văn hóa ứng xử của cán bộ, giảng viên, công nhân viên và sinh viên Trường Đại học CSND)

Ngày BH: (12/10/2017)

Số: 27/2017/TT-BCA
Tên: (Quy định về quy tắc ứng xử của Công an nhân dân)

Ngày BH: (21/08/2017)

Số: 124/2015/NĐ-CP
Tên: (NGHỊ ĐỊNH SỐ 185/2013/NĐ-CP NGÀY 15 THÁNG 11 NĂM 2013)

Ngày BH: (14/11/2013)