Cảnh báo lỗ hổng an toàn thông tin đặc biệt nguy hiểm
Tiếp sau hai lỗ hổng an toàn thông tin nghiêm trọng với các website sử dụng Hệ quản trị nội dung Drupal (Drupal) đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT cảnh báo và hướng dẫn xử lý, Drupal tiếp tục công bố lỗ hổng an toàn thông tin nghiêm trọng có mã lỗi SA-CORE-004 (mã quốc tế theo CVE có tên CVE-2018-7602).
Theo VNCERT, lỗ hổng này đặc biệt nguy hiểm do các mã khai thác lỗ hổng đã được công bố khá rộng rãi; khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống; Kỹ thuật khai thác rất dễ thực hiện; Không yêu cầu quyền truy cập hệ thống; Có thể sửa và xóa dữ liệu; Đặc biệt, máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.
Tính đến ngày 26/4/2018, nhiều thiết bị phát hiện tấn công (IPS, WAF Firewall, Application Firewall v.v…) đã được kiểm tra và xác định vẫn chưa có khả năng phát hiện đầy đủ tấn công này; Việc phát sinh nhiều lỗ hổng ATTT cho các webiste sử dụng Drupal cùng một lúc sẽ tạo ra mức độ nguy hiểm tăng nhanh.
Cho đến thời điểm hiện tại cập nhật Drupal là biện pháp hiệu quả nhất. VNCERT gửi thông báo và đề nghị các Quý Cơ quan nhanh chóng rà soát và xử lý nếu có Website hoặc ứng dụng sử dụng nền tảng Drupal đặc biệt trong dịp lễ 30/4-1/5.
Thông tin cụ thể lỗ hổng:
1. Mã lỗi quốc tế: CVE-2018-7602 hoặc SA-CORE-2018-004
2. Mức độ nghiêm trọng: Nghiêm trọng
3. Thời điểm công bố lỗ hổng: Ngày 25/4/2018
4. Thời điểm công bố mã khai thác: Ngày 26/4/2018 một số webiste đã công bố mã khai thác lỗ hổng.
5. Mô tả ảnh hưởng:
Tương tự như lỗ hổng an toàn thông tin CVE-2018-7600 (SA-CORE-2018-002) trong công văn 109/VNCERT-KTHT&GS ngày 23/4/2018, lỗ hổng an toàn thông tin này cho phép tin tặc thực thi các đoạn mã từ xa, điều khiển hệ thống trái phép, xem thông tin trái phép v.v.v…
Lỗ hổng tồn tại trên hầu hết các phiên bản 7 và 8 của Drupal.
6. Giải pháp cập nhật Drupal
Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng CVE-2018-7602 hoặc SA-CORE-2018-004, quản trị hệ thống xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal như sau:
1. Khi sử dụng Drupal 7.x cần nâng cấp phiên bản 7.5.9. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo link dưới đây: https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
2. Sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.3. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo link dưới đây:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e
3. Nếu đang sử dụng các phiên bản Drupal 8.4.x thì cập nhật lên phiên bản 8.4.8. Phiên bản 8.4.x hiện không còn được hỗ trợ nữa, đề nghị quản trị hệ thống cập nhật lên phiên bản 8.5.3 hoặc mới hơn ngay khi có thể để đảm bảo an toàn thông tin.
Đối với các Website có tồn tại các lỗ hổng nghiêm trọng cần kiểm tra khả năng đã bị kiểm soát, chiếm quyền điều khiển hoặc các rủi ro khác trước thời điểm cập nhật các bản vá.
Để việc cảnh báo kịp thời, VNCERT đề nghị các cơ quan đôn đốc cán bộ trực đầu mối tiếp nhận thông tin của mạng lưới ứng cứu, liên tục theo dõi các cảnh báo trên webiste của Bộ Thông tin và Truyền thông www.mic.gov.vn , website của VNCERT http://vncert.vn/baiviet.php?id=93 và Webiste về an toàn thông tin của Drupal https://www.drupal.org/security.
Phạm Lê
