Theo Trung tâm Ứng cứu, hệ quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các trang/cổng thông tin điện tử, ứng dụng web cho các đơn vị. Ưu điểm của hệ quản trị này là đơn giản, linh hoạt, hỗ trợ nhiều loại CSDL như MySQL, PostgreSQL, SQLite, Server, Oracle và có thể mở rộng để hỗ trợ các CSDL NoSQL.
Trong 2 năm 2017 – 2018, Drupal đã công bố 7 lỗ hổng bảo mật nhưng chỉ riêng từ cuối tháng 3 đến nay đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao đến nghiêm trọng cần được theo dõi xử lý khẩn cấp.
Số lượng website Drupal tại Việt Nam là khá nhiều nhưng Drupal thường được sử dụng với các website có quy mô vừa và nhỏ. Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức ngân hàng, tài chính.
Qua công tác hỗ trợ một số đơn vị khắc phục sự cố Drupal vừa qua, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam nhận thấy thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt cũng không biết rõ cổng/trang thông tin điện tử được phát triển trên nền tảng Drupal.
Điều này dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng an toàn thông tin đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Do đó, Trung tâm Ứng cứu đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal. Trong trường hợp có website sửa dụng Drupal thì cần chú ý hai lỗ hổng an toàn gồm: lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép và lỗ hổng tấn công kịch bản liên trang.
Đối với lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép, Trung tâm Ứng cứu cho biết mã lỗi quốc tế là CVE-2018-7600 hoặc SA-CORE-2018-002.
Mức độ nguy hiểm của lỗ hổng này là nghiêm trọng do khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống.
Bên cạnh đó, đối với lỗ hổng này, kỹ thuật khai thác rất dễ thực hiện, không yêu cầu bất cứ điều kiện gì kèm thêm; không yêu cầu quyền truy cập hệ thống; có thể sửa và xóa dữ liệu; máy tính bị khai thác có thể trở thành bàn đạp để khai thác các máy tính khác trong cùng vùng mạng.
Trung tâm Ứng cứu cho biết hiện nay lỗ hổng này đã gây ảnh hưởng trên diện rộng, đã có một số hacker khai thác lỗ hổng Drupal để phục vụ đào tiền ảo.
Về giải pháp, hiện Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng CVE-2018-7600 hoặc SA-CORE-2018-002. Theo đó khi sử dụng Drupal 7.x cần nâng cấp phiên bản 7.5.8 Trường hợp không nâng cấp được ngay lập tức thì cần cài đặt bản vá tại link: https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
Khi sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.1. Trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá link: https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
Nếu đang sử dụng các phiên bản Drupal 8.3 hoặc 8.4 thì nhanh chóng nâng cấp lên phiên bản 8.5.1. Trường hợp không thực hiện được thì nếu đang sử dụng Drupal 8.3.x cần nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá link: https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
Còn nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá link: https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
Ngoài ra, một giải pháp hỗ trợ khác là thiết lập thiết bị IPS, tường lửa bảo vệ lớp 7 hoặc tường lửa bảo vệ ứng dụng web và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng.
Đối với lỗ hổng thứ hai – lỗ hổng tấn công kịch bản liên trang, Trung tâm Ứng cứu cho biết mã lỗi quốc tế là SA-CORE-2018-003. Mức độ nguy hiểm của lỗ hổng này là cao bởi nó cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2.
Giải pháp xử lý đối với lỗ hổng này là nếu sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7; nếu sử dụng Drupal 7.x thì chỉ bị ảnh hưởng khi sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN.
Nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng như (sử dụng WYSIWIG module) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1 thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ: https://ckeditor.com/ckeditor-4/download/
"Việc cập nhật phần mềm Drupal cho các website/cổng thông tin điện tử có thể dẫn đến một số trục trặc, trong khi đó đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro", Trung tâm Ứng cứu khuyến cáo.
Tags:
(VNF) - NHNN quyết định thanh tra kinh doanh vàng. Tổng giám đốc SJC muốn bỏ độc quyền vàng miếng vì 'không được hưởng lợi gì'. NHNN đề xuất gia hạn Thông tư 02 thêm 6 tháng nữa. Đó là những thông tin ngân hàng đáng chú ý tuần qua.
(VNF) - Sau những lùm xùm vừa qua, thị trường TPDN vẫn đang đi ngang. Để thị trường thực sự phát triển theo đúng tiềm năng, ông Trần Lê Minh, Tổng Giám đốc Công ty Cổ phần Xếp hạng tín nhiệm đầu tư Việt Nam VIS Rating cho rằng cần phải thực hiện được "một tiền đề và ba điều kiện".
(VNF) - Thủ tướng yêu cầu Ngân hàng Nhà nước (NHNN) thực hiện ngay công tác thanh tra, kiểm tra thị trường vàng và hoàn thành trong tháng 5/2024.
(VNF) - Ngoài những trường hợp thu nhập thấp đăng đàn trên các nhóm về tài chính nhờ chỉ bảo cách chi tiêu và tiết kiệm. Bất ngờ, có không ít những dòng trạng thái thu nhập cả tỷ đồng/năm, nhưng không biết chi tiêu sao cho hợp lý. Có người sẵn sàng đưa lời khuyên, ngược lại không ít thông tin cho rằng “khoe mẽ”.
(VNF) - Công ty cổ Tập đoàn Đạt Phương (Hà Nội) và Tổng công ty cổ phần Đầu tư xây dựng Minh Tuấn (Thanh Hoá) là Liên danh nhà thầu duy nhất tham dự thầu gói thầu 16 thuộc Dự án Cầu vượt đường sắt Bắc - Nam và đường hai đầu cầu thuộc tuyến Đại lộ Đông Tây, TP. Thanh Hóa và trúng thầu với giá 470,148 tỷ đồng.
(VNF) - Còn nhiều dư địa để dòng tiền tiếp tục đẩy vào thị trường chứng khoán, đưa chỉ số VN-Index dễ dàng vượt đỉnh hơn, hay nói theo cách ví von, tàu càng nhẹ thì càng dễ vượt sóng.
(VNF) - Trong tuần vừa qua, vụ việc Thủ tướng Slovakia bị ám sát đã thu hút sự chú ý từ khắp nơi trên thế giới. Bên cạnh đó, chuyến thăm cấp nhà nước của Tổng thống Nga Vladimir Putin tới Trung Quốc hay việc Triều Tiên phóng tên lửa cũng là những sự kiện nổi bật.
(VNF) - Cùng với xu hướng chuyển đổi số trong ngành ngân hàng, hoạt động cho vay qua nền tảng trực tuyến đang phát triển mạnh mẽ tại nhiều ngân hàng. Tuy vậy, theo ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội ngân hàng, hoạt động cho vay trực tuyến vẫn đang đợi một hành lang pháp lý đầy đủ hơn để có thể bùng nổ trong thời gian tới.
Sáng 19/5, Tổng Thư ký Quốc hội Bùi Văn Cường chủ trì họp báo về dự kiến chương trình Kỳ họp thứ 7, Quốc hội khóa XV.
(VNF) - Mọc lên tại những vị trí đắc địa, quán nhậu Tự Do đang dần trở thành một trong những hệ thống quán nhậu lớn hàng đầu tại Hà Nội với hàng chục sơ sở lớn nhỏ.
(VNF) - Mã Pì Lèng là cung đường đèo hiểm trở dài khoảng 20 km đi qua 3 xã thuộc huyện Mèo Vạc, tỉnh Hà Giang. Từ lâu, nơi đây được coi là đệ nhất danh đèo của Việt Nam, là một trong "tứ đại đỉnh đèo" bên cạnh đèo Ô Quy Hồ, Khau Phạ và Pha Đin. Cùng ngắm vẻ đẹp hùng vĩ của tuyến đường đèo này qua ống kính của nhiếp ảnh gia Thanh Hải.
