Cảnh báo lỗ hổng an toàn thông tin với website sử dụng Drupal

Ngày 23/4 vừa qua, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã ra Công văn khẩn số 109/VNCERT-KTHT&GS về việc cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal.

Theo Công văn, số lượng website sử dụng hệ quản trị nội dung Drupal tại Việt Nam khá nhiều nhưng hầu hết là các website có quy mô vừa và nhỏ. Trong trường hợp website sử dụng Drupal thì cần chú ý tới 02 lỗ hổng an toàn thông tin:

1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép

Đây là lỗ hổng nghiêm trọng, cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện…, hiện nay ảnh hưởng trên diện rộng, một số hacker đã khai thác lỗ hổng này để phục vụ đào tiền ảo.

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam khuyến cáo cần nâng cấp các phiên bản Drupal hoặc cài đặt các bản vá trong trường hợp chưa nâng cấp ngay lập tức.

Cảnh báo lổ hổng an toàn thông tin với website sử dụng Drupal

2. Lỗ hổng tấn công kịch bản liên trang

Lỗ hổng này cho phép tin tặc thực thi các khả năng khai thác lỗi thông qua ứng dụng CKEdior khi có sử dụng Plugin Image2. Để khắc phục lỗi này, có thể nâng cấp Drupal lên bản 8.5.2 hoặc 8.4.7…

Việc cập nhật phần mềm Drupal cho các website có thể dẫn đến một số trục trặc. Do đó, cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

LuatVietnam