Phát hiện lỗ hổng XSS trong trình soạn thảo văn bản của Drupal

Lần thứ hai trong vòng một tháng, các nhà nghiên cứu lại tìm thấy một lỗ hổng nghiêm trọng khác trong lõi của Drupal. Lỗ hỗng XSS trong trình soạn thảo văn bản của Drupal cho phép tin tặc từ xa thực hiện các cuộc tấn công nâng cao như trộm danh tính, keylogging, lừa đảo và đánh cắp nhận dạng. Được phát hiện bởi nhóm bảo mật của Drupal, khuôn khổ quản lý nội dung mã nguồn mở trở nên dễ bị tấn công là do lỗ hổng XSS nằm trong một plugin của bên thứ ba CKEditor được tích hợp sẵn trong lõi Drupal để giúp các quản trị viên trang web và người dùng tạo nội dung tương tác. CKEditor là trình soạn thảo văn bản WYSIWYG dựa trên JavaScript phổ biến đang được sử dụng bởi nhiều trang web, cũng như được cài đặt sẵn với một số dự án web phổ biến. Theo một lời khuyên bảo mật do CKEditor đưa ra, lỗ hổng XSS xuất phát từ việc xác nhận hợp lệ thẻ “img” trong plugin Enhanced Image cho CKEditor 4.5.11 và các phiên bản mới hơn.

Điều này có thể cho phép kẻ tấn công thực hiện mã HTML và JavaScript tùy ý trong trình duyệt của nạn nhân và truy cập thông tin nhạy cảm. Enhanced Image plugin đã được giới thiệu trong CKEditor 4.3 và hỗ trợ cách chèn hình ảnh nâng cao vào nội dung bằng trình chỉnh sửa. Nhóm bảo mật Drupal cho biết: “lỗ hổng XSS bắt nguồn từ thực tế đó là có thể thực hiện XSS bên trong CKEditor khi sử dụng plugin image2 (mà lõi Drupal 8 cũng sử dụng).” CKEditor đã vá lỗ hổng này bằng việc phát hành CKEditor phiên bản 4.9.2 và nó cũng đã được vá trong CMS bởi nhóm bảo mật Drupal bằng việc phát hành phiên bản Drupal 8,5.2 và Drupal 8.4.7. Vì plugin CKEditor trong Drupal 7.x được định cấu hình để tải từ các máy chủ CDN nên nó không bị ảnh hưởng bởi lỗ hổng. Tuy nhiên, nếu bạn đã cài đặt CKEditor plugin theo cách thủ công, bạn nên tải và nâng cấp plugin của mình lên phiên bản mới nhất từ ​​trang web chính thức của hãng. Gần đây, Drupal đã vá một lỗ hổng quan trọng khác, được gọi là Drupalgeddon2 – một lỗ hổng thực thi mã từ xa, cho phép kẻ tấn công từ xa không qua xác thực, có thể thực hiện mã độc hại theo mặc định hoặc các cài đặt Drupal chung theo các đặc quyền của người dùng. Lỗ hổng Drupalgeddon2 ảnh hưởng đến tất cả các phiên bản của Drupal từ 6 đến 8. Tuy nhiên, do người dùng thường có xu hướng không cập nhật ngay các bản vá cho hệ thống và trang web của họ, nên lỗ hổng Drupalgeddon2 vẫn được khai thác bởi tin tặc để cài malware đào tiền ảo, backdoor và các phần mềm độc hại khác nên máy tính mục tiêu. Vì vậy, người dùng rất được khuyến khích chú ý tới các lời khuyên và cảnh báo bảo mật. Luôn cập nhật hệ thống và phần mềm để tránh trở thành đối tượng của bất kỳ cuộc tấn công mạng nào.