WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Drupalgeddon 2.0: Lỗ hổng nghiêm trọng khiến hàng triệu website Drupal đứng trước nguy cơ bị tấn công
Ngày 12/4/2018: Các chuyên gia của Check Point và Drupal đã công bố bài phân tích kỹ thuật chi tiết về lỗ hổng Drupalgeddon phiên bản 2.0. Hiện tại, PoC khai thác đã được đăng trên GitHub.
________________________________________________________________________________________________________
Tất cả các phiên bản của hệ thống quản lý nội dung của Drupal đều bị ảnh hưởng bởi một lỗ hổng rất nghiêm trọng. Hacker có thể dễ dàng khai thác lỗi này để kiểm soát hoàn toàn các trang web bị ảnh hưởng. Một số chuyên gia nhận định đây có thể là lỗ hổng Drupalgeddon phiên bản 2.0.
Chuyên gia Jasper Mattsson đã phát hiện một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Drupal 6, 7 và 8. Theo đó, hơn một triệu trang web có thể bị tấn công bởi một hacker từ xa.
Các nhà phát triển Drupal cảnh báo có thể dễ dàng khai thác lỗi CVE-2018-7600 bằng cách truy cập vào một trang trên website Drupal đích. Sau khi khai thác thành công, hacker kiểm soát toàn bộ trang web, bao gồm truy cập dữ liệu bí mật và quyền xóa hoặc sửa đổi dữ liệu hệ thống.
Lỗi trên đã được cập nhật bản vá qua việc phát hành Drupal 7.58, 8.5.1, 8.3.9 và 8.4.6. Mặc dù Drupal 6 ngừng hỗ trợ từ tháng 2/ 2016, vẫn có bản sửa lỗi cho lần này bởi sự nghiêm trọng của lỗ hổng và nguy cơ bị khai thác cao.
Bên cạnh cập nhật lên phiên bản mới nhất, người dùng có thể bảo vệ trang web bằng cách thực hiện một số thay đổi cấu hình của trang web.
Các nhà phát triển Drupal đưa ra khuyến cáo: "Có rất nhiều giải pháp nhưng tất cả đều dựa trên ý tưởng không cho người dùng truy cập các trang Drupal có lỗ hổng. Tạm thời thay thế trang web Drupal của bạn bằng một trang HTML tĩnh là một biện pháp hiệu quả. Với các staging site (bản sao của trang hoạt động trực tuyến, không được public cho tất cả mọi người), bạn có thể vô hiệu hóa trang web hoặc bật mật khẩu 'Basic Auth' để ngăn chặn truy cập vào trang web".
Cloudflare cũng thông báo rằng hãng đã đưa một quy tắc lên Web Application Firewall (WAF) để ngăn chặn các cuộc tấn công tiềm ẩn.
Thông tin chi tiết về kỹ thuật chưa được công bố, nhưng Drupal tin rằng việc khai thác lỗ hổng sẽ thực hiện chỉ trong vòng vài giờ hoặc vài ngày. Điều này lý giải việc báo động về lỗ hổng của hãng tới người dùng và việc cập nhật lỗ hổng được thực hiện sớm trước 1 tuần. Có thể đây là chiến lược giải quyết tốt, nhưng nhiều trang web vẫn có thể tồn tại lỗ hổng trong một khoảng thời gian dài.
Về lỗ hổng “Drupalgeddon” khét tiếng, trước đó hacker đã khai thác để chiếm quyền điều khiển các website gần 2 năm sau khi bản vá được phát hành.
Hiện vẫn chưa có các báo cáo về lỗ hổng bị khai thác trong thực tế.
Chuyên gia Bkav khuyến cáo các quản trị viên cần cập nhật ngay phiên bản mới nhất của Drupal theo các đường link tương ứng dưới đây:
________________________________________________________________________________________________________
Tất cả các phiên bản của hệ thống quản lý nội dung của Drupal đều bị ảnh hưởng bởi một lỗ hổng rất nghiêm trọng. Hacker có thể dễ dàng khai thác lỗi này để kiểm soát hoàn toàn các trang web bị ảnh hưởng. Một số chuyên gia nhận định đây có thể là lỗ hổng Drupalgeddon phiên bản 2.0.
Chuyên gia Jasper Mattsson đã phát hiện một lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Drupal 6, 7 và 8. Theo đó, hơn một triệu trang web có thể bị tấn công bởi một hacker từ xa.
Các nhà phát triển Drupal cảnh báo có thể dễ dàng khai thác lỗi CVE-2018-7600 bằng cách truy cập vào một trang trên website Drupal đích. Sau khi khai thác thành công, hacker kiểm soát toàn bộ trang web, bao gồm truy cập dữ liệu bí mật và quyền xóa hoặc sửa đổi dữ liệu hệ thống.
Lỗi trên đã được cập nhật bản vá qua việc phát hành Drupal 7.58, 8.5.1, 8.3.9 và 8.4.6. Mặc dù Drupal 6 ngừng hỗ trợ từ tháng 2/ 2016, vẫn có bản sửa lỗi cho lần này bởi sự nghiêm trọng của lỗ hổng và nguy cơ bị khai thác cao.
Bên cạnh cập nhật lên phiên bản mới nhất, người dùng có thể bảo vệ trang web bằng cách thực hiện một số thay đổi cấu hình của trang web.
Các nhà phát triển Drupal đưa ra khuyến cáo: "Có rất nhiều giải pháp nhưng tất cả đều dựa trên ý tưởng không cho người dùng truy cập các trang Drupal có lỗ hổng. Tạm thời thay thế trang web Drupal của bạn bằng một trang HTML tĩnh là một biện pháp hiệu quả. Với các staging site (bản sao của trang hoạt động trực tuyến, không được public cho tất cả mọi người), bạn có thể vô hiệu hóa trang web hoặc bật mật khẩu 'Basic Auth' để ngăn chặn truy cập vào trang web".
Cloudflare cũng thông báo rằng hãng đã đưa một quy tắc lên Web Application Firewall (WAF) để ngăn chặn các cuộc tấn công tiềm ẩn.
Thông tin chi tiết về kỹ thuật chưa được công bố, nhưng Drupal tin rằng việc khai thác lỗ hổng sẽ thực hiện chỉ trong vòng vài giờ hoặc vài ngày. Điều này lý giải việc báo động về lỗ hổng của hãng tới người dùng và việc cập nhật lỗ hổng được thực hiện sớm trước 1 tuần. Có thể đây là chiến lược giải quyết tốt, nhưng nhiều trang web vẫn có thể tồn tại lỗ hổng trong một khoảng thời gian dài.
Hiện vẫn chưa có các báo cáo về lỗ hổng bị khai thác trong thực tế.
Chuyên gia Bkav khuyến cáo các quản trị viên cần cập nhật ngay phiên bản mới nhất của Drupal theo các đường link tương ứng dưới đây:
- Với version 7.x, cập nhật lên Drupal 7.58.
- Với version 8.5.x, cập nhật lên Drupal 8.5.1.
- Với version 8.3.x, cập nhật lên Drupal 8.3.9 hoặc cài bản vá này
- Với version 8.4.x, cập nhật lên Drupal 8.4.6 hoặc cài bản vá này.
Theo Bkav, Securityweek
Chỉnh sửa lần cuối: