VNCERT lại cảnh báo lỗ hổng đặc biệt nguy hiểm của hệ quản trị Drupal

ICTnews - Chiều ngày 27/4/2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT vừa phát cảnh báo và hướng dẫn xử lý hệ thống Drupal dính lỗ hổng an toàn thông tin nghiêm trọng có mã lỗi SA-CORE-004 . ]]>

VNCERT phát thông báo khẩn và cho rằng lỗ hổng đặc biệt nguy hiểm với các website sử dụng Hệ quản trị nội dung Drupal (Drupal) đến các đơn vị chuyên trách về CNTT, ATTT: Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ và các đơn vị chuyên trách về CNTT, ATTT các Bộ, ngành, địa phương, các tổng công ty, tập đoàn kinh tế; các tổ chức Tài chính, Ngân hàng và Chứng khoán; các doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông vận tải, Dầu khí.

Tiếp sau hai lỗ hổng an toàn thông tin nghiêm trọng với các website sử dụng Hệ quản trị nội dung Drupal đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cảnh báo và hướng dẫn xử lý tại công văn số 109/VNCERT-KTHT&GS ngày 23/04/2018 và công văn số 116/VNCERT-KTHT&GS ngày 24/04/2018. Ngày 25/4/2018, Drupal tiếp tục công bố lỗ hổng an toàn thông tin nghiêm trọng có mã lỗi SA-CORE-004 (mã quốc tế theo CVE có tên CVE-2018-7602).

Lỗ hổng này đặc biệt nguy hiểm do các mã khai thác lỗ hổng đã được công bố khá rộng rãi. Khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống, kỹ thuật khai thác rất dễ thực hiện, không yêu cầu quyền truy cập hệ thống, có thể sửa và xóa dữ liệu. Máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.

Tính đến ngày 26/4/2018, nhiều thiết bị phát hiện tấn công (IPS, WAF Firewall, Application Firewall…) đã được kiểm tra và xác định vẫn chưa có khả năng phát hiện đầy đủ tấn công này. Việc phát sinh nhiều lỗ hổng ATTT cho các webiste sử dụng Drupal cùng một lúc sẽ tạo ra mức độ nguy hiểm tăng nhanh.

Cho đến thời điểm hiện tại cập nhật Drupal là biện pháp hiệu quả nhất. Do đó VNCERT xin thông báo và đề nghị các đơn vị nhanh chóng rà soát và xử lý nếu có website hoặc ứng dụng sử dụng nền tảng Drupal đặc biệt trong dịp lễ sắp tới. Ngày 26/4/2018, đã có một số webiste công bố mã khai thác lỗ hổng.

Tương tự như lỗ hổng an toàn thông tin CVE-2018-7600 (SA-CORE-2018-002) trong công văn 109/VNCERT-KTHT&GS ngày 23/4/2018, lỗ hổng an toàn thông tin này cho phép tin tặc thực thi các đoạn mã từ xa, điều khiển hệ thống trái phép, xem thông tin trái phép… Lỗ hổng tồn tại trên hầu hết các phiên bản 7 và 8 của Drupal.

VNCERT cho biết, Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng CVE-2018-7602 hoặc SA-CORE-2018-004, quản trị hệ thống xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal như sau: Khi sử dụng Drupal 7.x cần nâng cấp phiên bản 7.5.9. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo link https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0, Sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.3. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo link

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e. Nếu đang sử dụng các phiên bản Drupal 8.4.x thì cập nhật lên phiên bản 8.4.8. Phiên bản 8.4.x hiện không còn được hỗ trợ nữa, đề nghị quản trị hệ thống cập nhật lên phiên bản 8.5.3 hoặc mới hơn ngay khi có thể để đảm bảo an toàn thông tin.

Đối với các website có tồn tại các lỗ hổng nghiêm trọng cần kiểm tra khả năng đã bị kiểm soát, chiếm quyền điều khiển hoặc các rủi ro khác trước thời điểm cập nhật các bản vá.

Để việc cảnh báo kịp thời VNCERT đề nghị các đơn vị bố trí cán bộ trực đầu mối tiếp nhận thông tin của mạng lưới ứng cứu, liên tục theo dõi các cảnh báo trên webiste của Bộ TT&TT, website của VNCERT http://vncert.vn/baiviet.php?id=93 và Webiste về an toàn thông tin của Drupal https://www.drupal.org/security

Mọi thông tin chi tiết và đề nghị hỗ trợ kỹ thuật vui lòng liên hệ đầu mối của Trung tâm VNCERT: Ông Nguyễn Thanh Minh, Phụ trách Phòng Kỹ thuật hệ thống và Giám sát; email: [email protected]; điện thoại: 0904240888.