Cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal

 Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa phát cảnh báo về lỗ hổng báo mật trên hệ quản trị nội dung Drupal.

Theo VNCERT, hệ thống quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, ứng dụng web (gọi chung là website) cho các cơ quan, đơn vị, với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL.

Chỉ riêng từ cuối tháng 3/2018 đến nay Drupal đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao ở mức nghiêm trọng cần được theo dõi, xử lý khẩn cấp.

Cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal
VNCERT cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal

Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, VNCERT nhận thấy, thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ Trang/Cổng thông tin điện tử được phát triển trên nền tảng Drupal.

Điều này dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.

Lỗ hổng Drupal nguy hiểm mức nào

Hai lỗ hổng được VNCERT liệt kê ở mức độ nghiêm trọng là: Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution) và Lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting).

Remote Code Execution (Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002) cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện v.v.., lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal.

Hiện nay ảnh hưởng trên diện rộng đã có một số hacker khai thác lỗ hổng Drupal để phục vụ đào tiền ảo.

Khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống.

 

Kỹ thuật khai thác rất dễ thực hiện, không yêu cầu bất cứ điều kiện gì kèm thêm. Không yêu cầu quyền truy cập hệ thống. Tin tặc có thể sửa và xóa dữ liệu.

Máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.

Cross Site Scriptting (Mã lỗi quốc tế là SA-CORE-2018-003) cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).

VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal.

Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho các lỗ hổng, quản trị hệ thống xem xét xử lý theo hướng dẫn từ Drupal.

Cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro. Do Drupal là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế.

H.N.

Giỡn mặt với giám đốc CIA, tin tặc trẻ lĩnh án 2 năm tù

Giỡn mặt với giám đốc CIA, tin tặc trẻ lĩnh án 2 năm tù

Một tin tặc người Anh vừa bị kết án 2 năm tù sau khi xâm nhập vào tài khoản trực tuyến của hàng loạt nhân vật cấp cao trong chính phủ Mỹ.

Phát hiện phần mềm độc hại tấn công smartphone thông qua DNS

Phát hiện phần mềm độc hại tấn công smartphone thông qua DNS

Các nhà nghiên cứu vừa phát hiện phần mềm độc hại mới trên Android tấn công vào smartphone tại châu Á thông qua DNS, mang tên Roaming Mantis.

Lỗ hổng giúp hacker "thọc" vào iPhone đơn giản tới không ngờ

Lỗ hổng giúp hacker "thọc" vào iPhone đơn giản tới không ngờ

Hãng bảo mật Symantec của Mỹ vừa phát hiện lỗ hổng cho phép kẻ xấu có thể tiếp cận dữ liệu trên iPhone bằng cách kết nối điện thoại với laptop.

 
 

Không thể bỏ lỡ

.
 
Hack 50.000 máy in để kêu gọi... đăng ký kênh video
Hack 50.000 máy in để kêu gọi... đăng ký kênh video
Bảo mậticon  03/12/2018 

Một fan cuồng kênh YouTube của PewDiePie với nickname là "TheHackerGiraffe", đã hack hơn 50.000 chiếc máy in để buộc các máy này in ra những tờ A4 với nội dung kêu gọi: chủ máy in hãy đăng ký kênh YouTube của PewDiePie.

 
Trộm tiền từ smartphone ngày càng phổ biến
Trộm tiền từ smartphone ngày càng phổ biến
Bảo mậticon  03/12/2018 

Giao dịch ATM trên smartphone ngày càng phổ biến, vá giới tội phạm công nghệ chắc chắn không thể làm ngơ trước mảnh đất màu mỡ này.

 
Cảnh sát Anh dùng AI để tóm tội phạm
Cảnh sát Anh dùng AI để tóm tội phạm
Bảo mậticon  03/12/2018 

Cảnh sát Anh muốn vẽ ra một viễn cảnh như bộ phim Minority Report khi sử dụng trí tuệ nhân tạo (AI) phân tích hành vi tội phạm.

 
Chuỗi khách sạn Marriott làm mất thông tin của 500 triệu khách hàng
Chuỗi khách sạn Marriott làm mất thông tin của 500 triệu khách hàng
Bảo mậticon  03/12/2018 

Sự việc xảy ra từ tháng 9 trước, một tin tặc đã hack vào cơ sở dữ liệu đặt phòng Starwood và lấy đi thông tin của 500 triệu khách hàng.

 
Công bố loạt sản phẩm, dịch vụ An toàn thông tin tiêu biểu năm 2018
Công bố loạt sản phẩm, dịch vụ An toàn thông tin tiêu biểu năm 2018
Bảo mậticon  30/11/2018 

Hội đồng bình chọn sản phẩm, dịch vụ ATTT 2018 đã chọn ra 4 “Sản phẩm ATTT chất lượng cao”, 8 “Dịch vụ ATTT tiêu biểu” và 7 “Sản phẩm ATTT mới xuất sắc” năm 2018 đến từ 11 doanh nghiệp.

 
Nguy cơ bảo mật mới: Mã độc cũng có trí thông minh nhân tạo
Nguy cơ bảo mật mới: Mã độc cũng có trí thông minh nhân tạo
Bảo mậticon  30/11/2018 

Tại Việt Nam, hiện có khoảng 350.000 thiết bị IoT công khai trên mạng Internet, hầu hết trong số này là các thiết bị camera giám sát, router. Trong đó, khoảng 40% thiết bị có khả năng bị ảnh hưởng bởi các lỗ hổng ATTT đã biết.

Dell đặt lại mật khẩu của tất cả khách hàng sau khi bị hack
Dell đặt lại mật khẩu của tất cả khách hàng sau khi bị hack
Bảo mậticon  29/11/2018 

Dell vừa cho biết họ vừa gặp phải một “sự cố an ninh mạng” và đã tiến hành đặt lại mật khẩu của tất cả khách hàng cho an toàn.

Đánh cắp mã thẻ tín dụng hàng nghìn người, nhóm tội phạm chịu án 30 năm tù
Đánh cắp mã thẻ tín dụng hàng nghìn người, nhóm tội phạm chịu án 30 năm tù
Bảo mậticon  29/11/2018 

Một nhóm gồm 10 thành viên chuyên đánh cắp mã thẻ tín dụng tại cây ATM và trạm xăng ở Mỹ đã bị kết án tổng cộng 30 năm tù.

Tiết lộ cách Nga chống rò rỉ dữ liệu trong Quân đội
Tiết lộ cách Nga chống rò rỉ dữ liệu trong Quân đội
Bảo mậticon  28/11/2018 

Bộ Quốc phòng Nga tiếp tục thắt chặt các quy tắc làm việc với thông tin kỹ thuật số có chứa thông tin bí mật, theo Izvestia.

Google bị cáo buộc theo dõi hoạt động của hàng triệu người dùng
Google bị cáo buộc theo dõi hoạt động của hàng triệu người dùng
Bảo mậticon  28/11/2018 

Cơ quan đại diện quyền lợi người tiêu dùng 7 nước châu Âu đã cùng gửi đơn khiếu nại lên chính phủ các nước này tố cáo Google bí mật theo dõi các hoạt động di chuyển của người dùng.

Hơn 50% trang web lừa đảo được trang bị giao thức bảo mật
Hơn 50% trang web lừa đảo được trang bị giao thức bảo mật
Bảo mậticon  29/11/2018 

Các trang lừa đảo hiện nay sẵn sàng bỏ qua một khoản tiền nho nhỏ để có được “sự tin tưởng” của người dùng.

Lật tẩy thủ đoạn lừa đảo tín dụng tinh vi bằng… Google Maps
Lật tẩy thủ đoạn lừa đảo tín dụng tinh vi bằng… Google Maps
Bảo mậticon  26/11/2018 

Trang tin tức The Hindu đã ghi nhận một loạt vụ lừa đảo tín dụng tại Ấn Độ thông qua lỗ hổng của Google Maps.

Chiến tranh mạng đặt ra nhiều thách thức đối với an ninh mỗi quốc gia
Chiến tranh mạng đặt ra nhiều thách thức đối với an ninh mỗi quốc gia
Bảo mậticon  26/11/2018 

Chiến tranh mạng, hay còn gọi là chiến tranh thông tin, đang trở thành một trong những mối đe dọa lớn nhất đối với an ninh quốc gia của nhiều nước trên thế giới hiện nay. 

Microsoft ghi danh 2 nhân viên Viettel vào Top 100 cao thủ bảo mật thế giới
Microsoft ghi danh 2 nhân viên Viettel vào Top 100 cao thủ bảo mật thế giới
Bảo mậticon  23/11/2018 

Hai nhân viên thuộc Trung tâm An ninh Mạng Viettel vừa được xướng tên trong danh sách Top 100 cao thủ bảo mật Thế giới năm 2018 do Microsoft công bố tại Silicon Valley.

CEO Tim Cook: Quy định bảo vệ dữ liệu cá nhân là “cần thiết”
CEO Tim Cook: Quy định bảo vệ dữ liệu cá nhân là “cần thiết”
Bảo mậticon  22/11/2018 

CEO của hãng Apple dự đoán rằng các quy định mới nhằm bảo vệ dữ liệu cá nhân người dùng đối với các công ty công nghệ và mạng xã hội là cần thiết, “không thể tránh khỏi”.

Facebook và Instagram sập đồng loạt tại nhiều nơi trên thế giới
Facebook và Instagram sập đồng loạt tại nhiều nơi trên thế giới
Bảo mậticon  21/11/2018 

Mạng xã hội Facebook và Instagram dường như đang gặp phải vấn đề rất nghiêm trọng. Hàng triệu người dùng trên khắp thế giới cho biết họ gặp phải vấn đề khi truy cập vào 2 mạng xã hội này.

Hơn nửa triệu người dùng Android bị lừa tải game chứa mã độc
Hơn nửa triệu người dùng Android bị lừa tải game chứa mã độc
Bảo mậticon  20/11/2018 

Hãy cẩn thận khi tải ứng dụng từ Google Play, đặc biệt nếu đó là một trong 13 trò chơi lái xe của nhà phát triển Luiz Pinto.

Lý do Microsoft chặn cập nhật ứng dụng iCloud
Lý do Microsoft chặn cập nhật ứng dụng iCloud
Bảo mậticon  19/11/2018 

Microsoft hiện đang chặn cập nhật ứng dụng iCloud trên bản cập nhật hệ điều hành Windows 10 mới nhất vì phát hiện một lỗi mới.

Instagram lại gặp lỗi bảo mật, mật khẩu người dùng có nguy cơ bị lộ
Instagram lại gặp lỗi bảo mật, mật khẩu người dùng có nguy cơ bị lộ
Bảo mậticon  19/11/2018 

Mạng xã hội hình ảnh Instagram thừa nhận, một lỗi xuất phát từ tính năng tải dữ liệu người dùng có thể khiến mật khẩu bị lộ.

Hacker tung tin giả, phá hoại TGDĐ, FPT Shop và ngành bán lẻ Việt Nam
Hacker tung tin giả, phá hoại TGDĐ, FPT Shop và ngành bán lẻ Việt Nam
Bảo mậticon  15/11/2018 

Từ đầu tháng 11/2018 đến nay, thông tin được cho là dữ liệu khách hàng của TGDĐ, FPT Shop liên tục được các hacker chia sẻ trên mạng Internet. Cục An toàn thông tin (Cục ATTT) đã nhanh chóng vào cuộc kiểm tra, hỗ trợ các doanh nghiệp này.

 
 
 
Hoàn thiện thông tin gửi bình luận

HOẶC ĐĂNG NHẬP NHANH BẰNG TÀI KHOẢN