VNCERT cảnh báo lỗ hổng an toàn thông tin Drupal

Ảnh minh họa.

Ngày 23-4, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam có công văn khẩn gửi các đơn vị chuyên trách về CNTT, ATTT: Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành; các sở TT và TT; thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia; các tổng công ty, tập đoàn kinh tế; các tổ chức tài chính, ngân hàng và chứng khoán; và các doanh nghiệp hạ tầng Internet, viễn thông, điện lực, hàng không, giao thông vận tải, dầu khí; và các đơn vị thuộc Bộ TT và TT.

VNCERT cho biết, hệ thống quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, ứng dụng web (gọi chung là website) cho các cơ quan, đơn vị, với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL.

Trong năm 2017 và các tháng đầu năm nay, Drupal đã công bố bảy lỗ hổng bảo mật. Tuy nhiên, chỉ riêng từ cuối tháng 3 đến nay Drupal đã bộc lộ hai lỗ hổng bảo mật có mức độ nguy hiểm cao ở mức nghiêm trọng cần được theo dõi, xử lý khẩn cấp. Số lượng website Drupal tại Việt Nam là khá nhiều nhưng Drupal thường được sử dụng đối với các website có quy mô vừa và nhỏ. Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức ngân hàng, tài chính.

Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, Trung tâm VNCERT nhận thấy, thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ Trang/Cổng thông tin điện tử được phát triển trên nền tảng Drupal, do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin. Chính vì vậy, VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal.

Trong trường hợp có website sử dụng Drupal, VNCERT khuyến nghị các cơ quan, đơn vị chú ý hai lỗ hổng an toàn thông tin. Trong đó, một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002), được công bố ngày 28-3.

Theo đánh giá, mức độ nguy hiểm của lỗ hổng CVE-2018-7600 (SA-CORE-2018-002) là nghiêm trọng. Lỗ hổng này cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện… Lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal. Hiện nay, đã ảnh hưởng trên diện rộng, một số hacker đã khai thác lỗ hổng để phục vụ đào tiền ảo.

Lỗ hổng thứ hai được VNCERT đề nghị các cơ quan, tổ chức chú ý là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003), được công bố ngày 18-4. Lỗi Cross Site Scriptting được đánh giá có mức độ nghiêm trọng ở mức cao.

Cũng trong công văn mới gửi tới các cơ quan, đơn vị, doanh nghiệp nhà nước, Trung tâm VNCERT cũng đưa ra hướng dẫn các giải pháp xử lý, khắc phục đối với từng lỗ hổng.

Cụ thể, với lỗ hổng CVE-2018-7600/SA-CORE-2018-002, VNCERT cho biết, Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng này, quản trị hệ thống cần xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal: khi sử dụng Drupal 7.x cần nâng cấp lên phiên bản 7.5.8; sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.1.

Nếu đang sử dụng các phiên bản Drupal 8.3 hoặc 8.4 thì cần nhanh chóng nâng cấp lên phiên bản 8.5.1. Trong trường hợp không thể thực hiện thì có thể sử dụng 2 biện pháp tạm thời gồm: nếu đang sử dụng Drupal 8.3.x thì nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá; nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá. Tuy nhiên, VNCERT lưu ý, các biện pháp tạm thời này vẫn còn tiềm ẩn nhiều rủi ro khác.

Đối với lỗ hổng SA-CORE-2018-003, giải pháp xử lý VNCERT khuyến nghị các cơ quan, đơn vị sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7; sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN; nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng (như sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1 thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ http://ckeditor.com/ckeditor-4/download/.

Trung tâm VNCERT cũng lưu ý, việc cập nhật phần mềm Drupal cho các Trang/Cổng thông tin điện tử có thể dẫn đến một số trục trặc, trong khi đó Drupal là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Vì vậy, các cơ quan, đơn vị cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

LÂM THẢO