Nếu gần đây bạn chưa cập nhật blog hoặc trang web kinh doanh dựa trên Drupal của mình lên các phiên bản mới nhất có sẵn thì đã đến lúc.

Nhóm phát triển Drupal hôm qua đã phát hành các bản cập nhật bảo mật quan trọng cho phần mềm quản lý nội dung nguồn mở được sử dụng rộng rãi nhằm giải quyết một lỗ hổng nghiêm trọng và ba “archives with symlinks” trong hệ thống cốt lõi của nó.

Xem xét rằng các trang web do Drupal cung cấp là một trong những mục tiêu ưa thích nhất của tin tặc, các quản trị viên trang web rất khuyến khích cài đặt bản phát hành mới nhất Drupal 7.69, 8.7.11 hoặc 8.8.1 để ngăn chặn tin tặc từ xa xâm nhập máy chủ web.

Liên kết quan trọng dễ bị tổn thương trong Drupal

Lời khuyên duy nhất với mức độ nghiêm trọng bao gồm các bản vá cho nhiều lỗ hổng trong thư viện của bên thứ ba, được gọi là ‘Archive_Tar’, mà Drupal Core sử dụng để tạo, liệt kê, trích xuất và thêm tệp vào kho lưu trữ tar.

Lỗ hổng nằm trong cách thư viện bị ảnh hưởng lưu trữ các tài liệu lưu trữ có liên kết tượng trưng, ​​nếu được khai thác, có thể cho phép kẻ tấn công ghi đè lên các tệp nhạy cảm trên máy chủ được nhắm mục tiêu bằng cách tải lên tệp tar được tạo thủ công độc hại.

Do đó, cần lưu ý, lỗ hổng chỉ ảnh hưởng đến các trang web Drupal được định cấu hình để xử lý các tệp .tar, .tar.gz, .bz2 hoặc .tlz được tải lên bởi người dùng không tin cậy.

Theo các nhà phát triển Drupal, bằng chứng về khái niệm cho lỗ hổng này đã tồn tại và xem xét mức độ phổ biến của các khai thác Drupal giữa các tin tặc, bạn có thể thấy các tin tặc tích cực khai thác lỗ hổng này trong các trang web Drupal.

Các lỗ hổng Drupal quan trọng vừa phải

Bên cạnh lỗ hổng nghiêm trọng này, các nhà phát triển Drupal cũng đã vá ba lỗ hổng “archives with symlinks” trong phần mềm Core của mình, chi tiết ngắn gọn như sau:

• Từ chối dịch vụ (DoS): Tệp install.php được sử dụng bởi Drupal 8 Core chứa một lỗ hổng có thể bị khai thác bởi một kẻ tấn công từ xa, không được xác thực để làm giảm tính khả dụng của một trang web được nhắm mục tiêu bằng cách làm hỏng dữ liệu được lưu trong bộ nhớ cache của nó.
• Bỏ qua hạn chế bảo mật: Chức năng tải lên tệp trong Drupal 8 không loại bỏ dấu chấm hàng đầu và dấu (‘.’) Từ tên tệp, có thể được kẻ tấn công sử dụng với khả năng tải lên tệp để ghi đè lên các tệp hệ thống tùy ý, chẳng hạn như .htaccess để vượt qua bảo mật bảo vệ.
• Truy cập trái phép: Lỗ hổng này tồn tại trong mô-đun Thư viện phương tiện mặc định của Drupal khi nó không giới hạn chính xác quyền truy cập vào các mục phương tiện trong một số cấu hình nhất định. Do đó, nó có thể cho phép người dùng có đặc quyền thấp có quyền truy cập trái phép vào thông tin nhạy cảm nằm ngoài tầm với của mình.

Theo các nhà phát triển, quản trị viên trang web bị ảnh hưởng có thể giảm thiểu lỗ hổng bỏ qua phương tiện truy cập bằng cách bỏ chọn hộp kiểm “Bật giao diện người dùng nâng cao” trên / admin / config / media / media-library, mặc dù giảm thiểu này không có sẵn trong 8.7.x.

Tất cả các lỗ hổng “nghiêm trọng vừa phải” ở trên đã được vá bằng việc phát hành phiên bản Drupal 8.7.11 và 8.8.1, và tại thời điểm viết, không có bằng chứng nào về khái niệm cho các lỗ hổng này.

Do có bằng chứng về khái niệm tồn tại đối với lỗ hổng Drupal quan trọng, người dùng chạy các phiên bản dễ bị tổn thương của Drupal được khuyến nghị cập nhật CMS của họ lên bản phát hành lõi Drupal mới nhất càng sớm càng tốt.

Nguồn The Hacker News

Khóa học Chuyên Viên Quản Trị Web – ACWT

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Cụ thể, đây là một lỗi vượt qua cơ chế truy cập (access bypass), được kích hoạt khi mô-đun Workspaces thử nghiệm được bật. Hacker , có thể khai thác lỗ hổng này để chiếm quyền kiểm soát trang web mục tiêu.

Hiện không có bằng chứng cho thấy lỗ hổng đã bị khai thác cho các mục đích độc hại. Tuy nhiên, đây có thể là mục tiêu hấp dẫn đối với hacker bởi nó ảnh hưởng đến cấu hình mặc định/ phổ biến, không yêu cầu xác thực, và việc khai thác chỉ yêu cầu tương tác người dùng tối thiểu.

Lỗ hổng chỉ ảnh hưởng đến Drupal 8.7.4 – Drupal 8.7.3 và 8.6.x trở về trước, và 7.x không bị ảnh hưởng. Nếu người dùng không thể cập nhật lên phiên bản 8.7.5 để vá lỗ hổng, có thể giảm thiểu nguy cơ bị tấn công bằng cách vô hiệu hóa mô-đun Workspaces.

Theo lời khuyên từ Drupal, đối với các trang web có mô-đun Workspaces được bật, update.php cần chạy để đảm bảo cache được xóa. Nếu có cache trung gian (reverse proxy) hoặc mạng phân phối nội dung (ví dụ: Varnish, CloudFlare), bạn cũng nên xóa những thứ này.

Các lỗ hổng Drupal bị khai thác không phải là hiếm. Đầu năm nay, những kể tấn công đã bắt đầu khai thác lỗ hổng CVE-2019-6340 để phát tán mã độc đào tiền ảo chỉ vài ngày sau khi bản vá cho lỗ hổng này được phát hành.

Tội phạm mạng cũng đã tấn công nhiều trang Drupal vào năm ngoái bằng cách khai thác hai lỗ hổng là Drupalgeddon2 và Drupalgeddon3. Kẻ tấn công sử dụng các lỗ hổng để phát tán mã độc RAT (Remote Access Trojan) và công cụ khai thác tiền ảo.

Theo Securityweek​

• 

  Khóa học Quản trị mạng nâng cao MCSA

  Khóa học Chuyên gia An ninh mạng – AN2S

• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA