Drupal – một nền tảng mã nguồn mở được sử dụng rộng rãi trên thế giới và nhiều website lớn tại Việt Nam đang tồn tại lỗ hổng bảo mật nghiêm trọng cho phép hacker chiếm quyền điều khiển máy chủ.

Lỗ hổng cho phép hacker chiếm quyền điều khiển máy chủ

Một lỗ hổng nghiêm trọng với tên gọi Drupalgeddon2 (mã CVE-2018-7600) được phát hiện trong các phiên bản từ 6 đến 8 của Drupal cho phép hacker có thể chiếm toàn quyền kiểm soát website. Cụ thể, lỗ hổng nằm ở tính năng Form API trong core của Drupal, hacker có thể chèn và thực thi các đoạn mã tùy ý mà không cần xác thực thông qua các biến (param) trên đường dẫn của website.

Kết quả phân tích tại Việt Nam

Sau khi kiểm tra, CyStack phát hiện trong tổng số khoảng 1000 website Drupal tại Việt Nam được quét có đến hơn 500 website vẫn đang sử dụng phiên bản Drupal có lỗ hổng và có khả năng bị hacker khai thác. Bao gồm nhiều website quan trọng của các ngân hàng, tập đoàn công nghệ, các trường đại học, các website chính phủ… Đây chưa phải con số cuối cùng bởi số lượng website Drupal tại Việt Nam khá lớn và Drupalgeddon2 là lỗ hổng cực kỳ nghiêm trọng, cho phép hacker chiếm quyền điều khiển website, với cách thức khai thác rất đơn giản.

Cách kiểm tra lỗ hổng cho các quản trị viên

Hiện nay, tính năng năng phát hiện lỗ hổng Drupalgeddon2 cho website đã được tích hợp trong nền tảng bảo mật CyStack Platform phiên bản mới nhất (1.1.8), các quản trị viên có thể đăng ký và quét lỗ hổng cũng như mã độc của website miễn phí tại: https://app.cystack.net/.

CyStack Platform đã được cập nhật mẫu nhận diện lỗ hổng Drupalgeddon2 vào phiên bản mới nhất
CyStack Platform đã được cập nhật mẫu nhận diện lỗ hổng Drupalgeddon2 vào phiên bản mới nhất

Cách thức khắc phục

Hiện tại Drupal đã đưa ra bản vá và bản cập nhật mới cho lỗ hổng:

  • Nếu bạn đang sử dụng phiên bản 7.x, hãy nâng cấp lên phiên bản Drupal 7.58.
  • Nếu bạn đang sử dụng phiên bản 8.5.x, hãy nâng cấp lên phiên bản Drupal 8.5.1.
  • Nếu bạn đang sử dụng phiên bản 8.3.x, hãy nâng cấp lên phiên bản Drupal 8.3.9 hoặc sử dụng bản vá của Drupal.
  • Nếu bạn đang sử dụng phiên bản 8.4.x, hãy nâng cấp lên phiên bản Drupal 8.4.6 hoặc sử dụng bản vá của Drupal.
  • Trong trường hợp không thể cài đặt các phiên bản mới, các quản trị có thể cập nhật bản vá thủ công tại: https://www.drupal.org/sa-core-2018-002 hoặc liên hệ với CyStack Security để được hỗ trợ.

Với các website đã bị tin tặc tấn công chiếm quyền điều khiển, lây nhiễm mã độc, các quản trị viên có thể sử dụng tính năng Responding (Malware Scanning) trong CyStack Platform để khôi phục website của mình.