-
Vụ nhà 2 người dùng hết 63m3 nước: Cư dân dọa kiện ra tòa vì đồng hồ nước "nhảy múa" bất thường! -
Jack - J97: "Tôi gửi lời xin lỗi chân thành" -
Khởi tố, bắt tạm giam thêm một "mắt xích" trong hệ sinh thái Hoàng Hường -
Công an thông tin chính thức vụ xe bồn chở khí hóa lỏng phát nổ dữ dội tại Hưng Yên sau khi va chạm barie giới hạn chiều cao -
Hệ sinh thái trăm tỷ của Huấn Hoa Hồng đột ngột "im lìm": Loạt doanh nghiệp biến mất, sự thật phía sau là gì? -
Chân dung "bà trùm" 9X cầm đầu ổ nhóm lừa đảo 300 tỷ từ Campuchia, 8.000 người Việt thành nạn nhân -
Cựu Tổng biên tập báo Thanh Niên Nguyễn Công Khế lĩnh 8 năm tù, buộc bồi thường hàng trăm tỷ đồng -
Vụ phụ huynh lao vào trường hành hung thầy giáo: Lộ tin nhắn "thân mật" gửi nữ sinh lớp 10 -
Tháng 11 đón "cơn mưa tài lộc": 3 con giáp này đổi đời, tiền về ồ ạt, giàu sang khó tưởng! -
Làm rõ vụ người đàn ông trốn trong nhà văn hóa, lên mạng cầu cứu lúc tối muộn
Công nghệ
30/04/2018 03:05Lỗ hổng trên Drupal: Website đang trong tình trạng nguy hiểm
Trước đó, Báo điện tử VietnamPlus đã đăng tải thông tin Drupal - một nền tảng mã nguồn mở được sử dụng rộng rãi trên thế giới và nhiều website tại Việt Nam - đang tồn tại lỗ hổng bảo mật cho phép hacker có thể chiếm quyền điều khiển máy chủ.
Theo CyStack, có khoảng 500 website Việt Nam có nguy cơ bị chiếm quyền điều khiển nếu không thực hiện các biện pháp ngăn chặn.
Về vấn đề này, phía VNCERT cho hay, số lượng website Drupal tại Việt Nam là khá nhiều nhưng thường được sử dụng đối với các website có quy mô vừa và nhỏ.
Qua việc hỗ trợ một số đơn vị khắc phục, VNCERT cho rằng, website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ trang/cổng thông tin điện tử được phát triển trên nền tảng Drupal, do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Do đó, VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal để có phương án kịp thời.
VNCERT cũng khuyến nghị các tổ chức nếu dùng Drupal chú ý 2 lỗ hổng an toàn thông tin. Trong đó, một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002), được công bố ngày 28/3; thứ hai là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003), được công bố ngày 18/4/2018.
Phía VNCERT cũng đưa ra hướng dẫn các tổ chức xử lý, khắc phục với từng lỗ hổng và khuyến nghị “việc cập nhật có thể gặp trục trặc” trong khi đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó, các tổ chức cần thử nghiệm kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.
Mới đây, VNCERT tiếp tục ra văn bản thứ hai về vấn đề này. Theo đó, VNCERT cho hay đã phát hiện các phương thức mới thực hiện tấn công các lỗ hổng của Drupal thông qua việc sử dụng các mạng máy tính ma với lượng máy tính thành viên lớn. Khi tin tặc khai thác thành công lỗ hổng an toàn thông tin nói trên, tin tặc sẽ tải lên tệp tin mã độc lên máy chủ và sử dụng như một bàn đạp thực hiện tấn công từ chối dịch vụ (DDoS) hoặc sử dụng tài nguyên của máy chủ để thực hiện hành vi đào tiền ảo trái phép.
Ngoài ra, tin tặc có thể sửa đổi mã nguồn thực hiện các hành vi nguy hiểm hơn việc tấn công DDoS hoặc đào tiền ảo. Đặc biệt, khi sử dụng các hệ thống botnet để thực hiện tấn công thì phạm vi tấn công sẽ mở rộng rất nhanh, đặt các website trên nền tảng Drupal chưa được bảo vệ an toàn trong tình trạng hết sức nguy hiểm.
VNCERT yêu cầu các tổ chức khi phát hiện các ứng dụng có sử dụng Drupal không được cập nhật, cần thực hiện giám sát và ngăn chặn kết nối đến các máy chủ điều khiển mã độc tấn công; rà soát, kiểm tra để phát hiện các tệp tin mã độc trên hệ thống…/.

Theo Trung HIền (Vietnam+)
- Vụ nhà 2 người dùng hết 63m3 nước: Cư dân dọa kiện ra tòa vì đồng hồ nước "nhảy múa" bất thường! (29/10/25 23:33)
- Jack - J97: "Tôi gửi lời xin lỗi chân thành" (29/10/25 23:04)
- Real Madrid "đòi" UEFA hàng triệu euro sau cuộc đối đầu pháp lý (29/10/25 22:56)
- Khởi tố, bắt tạm giam thêm một "mắt xích" trong hệ sinh thái Hoàng Hường (29/10/25 22:39)
- Siết chặt "chợ đen" USD: Ngân hàng Nhà nước ra "tối hậu thư" xử lý nghiêm các điểm mua bán ngoại tệ trái phép (29/10/25 22:06)
- Mỹ - Triều "lỡ hẹn" thượng đỉnh bên lề APEC: Tổng thống Trump thừa nhận chưa thể gặp ông Kim Jong Un, khẳng định sẽ tiếp tục nỗ lực đối thoại (29/10/25 21:46)
- Công an thông tin chính thức vụ xe bồn chở khí hóa lỏng phát nổ dữ dội tại Hưng Yên sau khi va chạm barie giới hạn chiều cao (29/10/25 21:20)
- Hệ sinh thái trăm tỷ của Huấn Hoa Hồng đột ngột "im lìm": Loạt doanh nghiệp biến mất, sự thật phía sau là gì? (29/10/25 21:10)
- Chân dung "bà trùm" 9X cầm đầu ổ nhóm lừa đảo 300 tỷ từ Campuchia, 8.000 người Việt thành nạn nhân (29/10/25 20:53)
- Ngân Hòa bị suy thận giai đoạn cuối: Tình hình đang diễn biến xấu (29/10/25 20:00)