Tin tức

Tìm thấy lỗ hổng thực thi mã từ xa trong Drupal – Lỗ hổng thứ 3 trong tháng

Bởi

26/04/2018

Drupal đã phát hành phiên bản phần mềm mới để vá một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, gây ảnh hưởng đến lõi Drupal 7 và 8. Drupal là một hệ thống quản lý nội dung (content management system-CMS) mã nguồn mở phổ biến, chứa đựng hàng triệu trang web và không may, CMS đã trở thành nạn nhân của các tấn công mạng kể từ sau khi các nhà nghiên cứu tiết lộ lỗ hổng thực thi mã từ xa rất nghiêm trọng trong Drupal. Lỗ hổng mới được phát hiện trong khi tiến hành nghiên cứu lỗ hổng RCE đã được tiết lộ trước đây – được gọi là Drupalgeddon2 (CVE-2018-7600) và đã được vá vào ngày 28 tháng 3, đã buộc nhóm Drupal phải phát hành bản cập nhật vá tiếp theo. Theo một lời cảnh báo của nhóm Drupal, lỗ hổng thực thi mã từ xa mới (CVE-2018-7602) cũng có thể cho phép kẻ tấn công hoàn toàn chiếm quyền kiểm soát các trang web dễ bị tổn thương.

Tìm thấy lỗ hổng thực thi mã từ xa trong Drupal — Lỗ hổng thực thi mã từ xa trong Drupal – Drupalgeddon3

Kể từ khi lỗ hổng được tiết lộ trước đây đã tạo ra nhiều sự chú ý và khiến những kẻ tấn công có động lực để nhắm mục tiêu vào các trang web chạy trên Drupal, công ty đã kêu gọi tất cả các quản trị viên trang web cài đặt các bản vá bảo mật mới càng sớm càng tốt.

Nếu bạn đang chạy 7.x, hãy nâng cấp lên Drupal 7.59.
Nếu bạn đang chạy 8.5.x, hãy nâng cấp lên Drupal 8.5.3.
Nếu bạn đang chạy 8.4.x mà không còn được Drupal hỗ trợ nữa, trước tiên bạn cần cập nhật trang web của mình lên bản phát hành 8.4.8 và sau đó cài đặt bản phát hành 8.5.3 mới nhất càng sớm càng tốt.

Cũng cần lưu ý rằng các bản vá lỗi mới sẽ chỉ hoạt động nếu trang web của bạn đã áp dụng các bản vá lỗi cho lỗ hổng Drupalgeddon2. Một phát ngôn viên của Drupal nói với The Hacker News: “Chúng tôi chưa tìm thấy bất kỳ hoạt động khai thác nào trong thực tế đối với lỗ hổng mới. Hơn nữa, lỗ hổng mới có nhiều phức tạp hơn khi khai thác.” Chi tiết kỹ thuật của lỗ hổng mới, có thể được đặt tên là Drupalgeddon3, chưa được phát hành, nhưng điều đó không có nghĩa là bạn có thể đợi đến sáng hôm sau để cập nhật trang web của bạn với niềm tin rằng nó sẽ không bị tấn công. Chúng ta đã chứng kiến những kẻ tấn công phát triển khai thác tự động tận dụng lỗ hổng Drupalgeddon2 như thế nào để chèn các malware khai thác đào tiền ảo, backdoors và các phần mềm độc hại khác vào các trang web chỉ trong vòng vài giờ sau khi chi tiết kỹ thuật được công khai. Bên cạnh hai lỗ hổng này, nhóm nghiên cứu cũng đã vá một lỗ hổng cross-site scripting (XSS) nghiêm trọng vào tuần trước, có thể cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công cấp cao bao gồm trộm cắp cookie, keylogging, lừa đảo và trộm danh tính. Vì vậy, các quản trị viên trang web Drupal được khuyến khích cập nhật trang web của họ càng sớm càng tốt.