Lỗ hổng Drupal 8 cho phép tin tặc chiếm quyền kiểm soát các trang web
Lỗ hổng được phát hiện có định danh CVE-2019-6342, cho phép tin tặc có thể vượt qua kiểm soát quyền truy cập (access bypass), xảy ra khi kích hoạt mô-đun Workspaces. Từ đó, tin tặc có thể kiểm soát trang web mục tiêu. Căn cứ và hệ thống chấm điểm của NIST để xác định mức độ rủi ro, các nhà phát triển Drupal cho rằng lỗ hổng này được đánh giá ở mức nghiêm trọng thứ hai, chỉ đứng sau mức “rất nghiêm trọng”.
Lập trình viên, chuyên viên phân tích độc lập Dave Botsch đã báo cáo lỗ hổng này cho nhà phát triển Drupal. Hiện tại, chưa có bằng chứng cho thấy lỗ hổng bị khai thác trong thực tế. Tuy nhiên, lỗ hổng bảo mật này có thể là mục tiêu hấp dẫn đối với tin tặc vì nó ảnh hưởng đến các cấu hình mặc định, phổ biến, không yêu cần xác thực và chỉ cần sự tương tác của người dùng ở mức tối thiểu.
Lỗ hổng hiện chỉ ảnh hưởng đến phiên bản Drupal 8.7.4. Nếu người dùng không thể cập nhật lên phiên bản 8.7.5 để vá lỗ hổng, thì có thể thực hiện vô hiệu hóa mô-đun Workspaces.
Đối với các trang web có kích hoạt mô-đun Workspaces, người dùng cần thực thi update.php để đảm bảo xóa bộ nhớ đệm. Bên cạnh đó, người dùng cần xóa bộ nhớ đệm reverse proxy hoặc mạng phân phối nội dung (như Varnish, CloudFlare...). Trong thông báo của Bộ An ninh nội địa Mỹ, cơ quan này khuyên người dùng cần khẩn trương tham khảo các tư vấn bảo mật của Drupal và thực hiện các biện pháp cần thiết.
Việc các lỗ hổng trong Drupal bị khai thác không phải là điều mới mẻ, đầu năm 2019, chỉ một vài ngày sau khi bản vá được phát hành, tin tặc đã bắt đầu khai thác lỗ hổng CVE-2019-6340 để phát tán mã độc đào tiền ảo và các mã độc khác.
Năm 2018, tin tặc cũng đã tấn công nhiều trang web Drupal bằng cách khai thác 2 lỗ hổng có tên Drupalgeddon2 và Drupalgeddon3. Các lỗ hổng được sử dụng để phát tán mã độc cho phép truy cập từ xa, cài đặt mã độc đào tiền ảo và thực hiện lừa đảo hỗ trợ kỹ thuật.
Toàn Thắng
Theo SecurityWeek