Lỗ hổng bảo mật trong Joomla ảnh hưởng hàng nghìn website Việt Nam

Vài ngày nay, trong giới hacker đang truyền tay nhau một lỗ hổng bảo mật trong joomla. Lỗ hổng này nằm trong component có tên là com_tag của Joomla.

Khai thác lỗ hổng, hacker có thể dễ dàng lấy được tài khoản (gồm tên đăng nhập và mật khẩu) của quản trị website. Tuy nhiên do mật khẩu đã được mã hóa (băm MD5), nên những mật khẩu mạnh hacker sẽ khó rất khó để giải mã. Tuy nhiên, nếu website không được phân quyền tốt hacker vẫn có thể tạo ra các backdoor (cửa hậu) từ đó upload webshell lên máy chủ thông qua việc khai thác lỗ hổng SQL Injection.

v-skin
Hình ảnh sau khi khai thác lỗ hổng. Hacker dễ dàng lấy được tên đăng nhập và mật khẩu.

Theo thống kê từ SecurityDaily, lỗ hổng này đang ảnh hưởng tới hàng nghìn website của Việt nam. Trên thế giới, số lượng các website sử dụng joomla chiếm tỉ lệ rất cao, hiện nay gần 600.000 website trên thế giới có thể bị khai thác bởi lỗ hổng bảo mật trong joomla này. Hôm qua, website fptlamdong.com.vn sử dụng joomla đã bị hacker tấn công thông qua việc khai thác lỗ hổng của com_tag.

Screen Shot 2014-07-07 at 1.56.08

Ảnh chụp website fptlamdong.com.vn sau khi bị tấn công bằng lỗ hổng bảo mật trong joomla.

Kiểm tra lỗ hổng bảo mật trong Joomla bằng công cụ tự động

SecurityDaily cảnh báo các quản trị của các website đang được xây dựng trên nền tảng Joomla cần thực hiện rà soát gấp hệ thống của mình, kiểm tra việc có hoặc không cài đặt tag component và việc có thể bị khai thác bởi lỗ hổng này.

Để thuận tiện cho các quản trị viên kiểm tra lỗ hổng. SecurityDaily đã cập nhật công cụ kiểm tra lỗ hổng Joomla com_tag trực tuyến tại cystack.net.

Website chính phủ Việt Nam an toàn với lỗ hổng này

SecurityDaily đã thực hiện kiểm tra đối với các website của chính phủ và kết quả cho thấy tất cả đều an toàn. Nền tảng Joomla thường được sử dụng rất hạn chế cho các website của chính phủ, ngân hàng do độ bảo mật không thực sự tốt.

Hướng khắc phục lỗ hổng

Hiện tại chưa có thông tin về bản vá chính thức, website chính thức của component này là www.joomlatags.orgcũng đã không hoạt động gì về việc vá lỗ hổng bảo mật trong joomla này. Com_tag trong quá khứ cũng từng có rất nhiều lỗ hổng nguy hiểm, tuy nhiên lỗ hổng này là một kỹ thuật khai thác mới và cực kỳ nguy hiểm. Hacker có thể lấy được tài khoản của quản trị chỉ với một click duy nhất.

Nếu website của bạn đang sử dụng Tags Component và đang tồn tại lỗ hổng. Bạn nên thực hiện các bước sau đây để đảm bảo an toàn cho hệ thống.

  1. Thay đổi tài khoản quản trị website.
  2. Disable Tags Component (com_tag).
  3. Rà soát việc có thể tồn tại các backdoor (cửa hậu) trên hệ thống. Xem thêm hướng dẫn kiểm tra webshell trong mã nguồn tại đây.
Tran Quang Chien
Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.