-
Ngập lụt ở Cao Bằng, Thái Nguyên, Lạng Sơn, Bắc Ninh kéo dài đến khi nào?
-
Vụ án Mr Pips: Thu giữ 2,3 triệu USD, 890 miếng vàng SJC, 246 kg vàng
-
Trước khi vướng lùm xùm tiền ảo AntEx, Nexttech Group của Shark Bình đã đột ngột giảm vốn từ 500 xuống còn 4 tỷ đồng; Ngân Lượng cũng giảm 85% vốn
-
Công an xác minh clip tàu hỏa húc văng bàn ghế ở phố cà phê đường tàu Hà Nội
-
Cháy nhà ở Lâm Đồng khiến 2 vợ chồng thiệt mạng: Thông tin mới nhất
-
Khoảnh khắc thót tim cứu hai ông cháu 18 tiếng cầm cự trên mái nhà giữa lũ dữ
-
Thái Nguyên và những giọt nước mắt trong lũ dữ: "Con cháu tôi 3 ngày nay không có cơm"
-
Cả nước bật “chế độ cứu trợ khẩn cấp” hướng về Thái Nguyên
-
Chỉ cần giải quyết vấn đề này, người Hà Nội không còn phải bì bõm lội nước
-
Hỗ trợ khẩn cấp 140 tỷ cho 4 tỉnh khắc phục hậu quả mưa lũ, Thái Nguyên mức cao nhất 50 tỷ
Công nghệ
30/04/2018 03:05Lỗ hổng trên Drupal: Website đang trong tình trạng nguy hiểm

Trước đó, Báo điện tử VietnamPlus đã đăng tải thông tin Drupal - một nền tảng mã nguồn mở được sử dụng rộng rãi trên thế giới và nhiều website tại Việt Nam - đang tồn tại lỗ hổng bảo mật cho phép hacker có thể chiếm quyền điều khiển máy chủ.
Theo CyStack, có khoảng 500 website Việt Nam có nguy cơ bị chiếm quyền điều khiển nếu không thực hiện các biện pháp ngăn chặn.
Về vấn đề này, phía VNCERT cho hay, số lượng website Drupal tại Việt Nam là khá nhiều nhưng thường được sử dụng đối với các website có quy mô vừa và nhỏ.
Qua việc hỗ trợ một số đơn vị khắc phục, VNCERT cho rằng, website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ trang/cổng thông tin điện tử được phát triển trên nền tảng Drupal, do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Do đó, VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal để có phương án kịp thời.
VNCERT cũng khuyến nghị các tổ chức nếu dùng Drupal chú ý 2 lỗ hổng an toàn thông tin. Trong đó, một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002), được công bố ngày 28/3; thứ hai là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003), được công bố ngày 18/4/2018.
Phía VNCERT cũng đưa ra hướng dẫn các tổ chức xử lý, khắc phục với từng lỗ hổng và khuyến nghị “việc cập nhật có thể gặp trục trặc” trong khi đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó, các tổ chức cần thử nghiệm kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.
Mới đây, VNCERT tiếp tục ra văn bản thứ hai về vấn đề này. Theo đó, VNCERT cho hay đã phát hiện các phương thức mới thực hiện tấn công các lỗ hổng của Drupal thông qua việc sử dụng các mạng máy tính ma với lượng máy tính thành viên lớn. Khi tin tặc khai thác thành công lỗ hổng an toàn thông tin nói trên, tin tặc sẽ tải lên tệp tin mã độc lên máy chủ và sử dụng như một bàn đạp thực hiện tấn công từ chối dịch vụ (DDoS) hoặc sử dụng tài nguyên của máy chủ để thực hiện hành vi đào tiền ảo trái phép.
Ngoài ra, tin tặc có thể sửa đổi mã nguồn thực hiện các hành vi nguy hiểm hơn việc tấn công DDoS hoặc đào tiền ảo. Đặc biệt, khi sử dụng các hệ thống botnet để thực hiện tấn công thì phạm vi tấn công sẽ mở rộng rất nhanh, đặt các website trên nền tảng Drupal chưa được bảo vệ an toàn trong tình trạng hết sức nguy hiểm.
VNCERT yêu cầu các tổ chức khi phát hiện các ứng dụng có sử dụng Drupal không được cập nhật, cần thực hiện giám sát và ngăn chặn kết nối đến các máy chủ điều khiển mã độc tấn công; rà soát, kiểm tra để phát hiện các tệp tin mã độc trên hệ thống…/.
Theo Trung HIền (Vietnam+)








- Ngập lụt ở Cao Bằng, Thái Nguyên, Lạng Sơn, Bắc Ninh kéo dài đến khi nào? (08/10/25 23:20)
- Vụ án Mr Pips: Thu giữ 2,3 triệu USD, 890 miếng vàng SJC, 246 kg vàng (08/10/25 23:04)
- Chị dâu ly hôn, đến ngày chị ấy dọn ra khỏi nhà tôi mới biết chồng mình không hề đơn giản (08/10/25 22:57)
- Xử lý người đưa tin trên Tiktok xuyên tạc vụ thảm án Đồng Nai (08/10/25 22:45)
- Trước khi vướng lùm xùm tiền ảo AntEx, Nexttech Group của Shark Bình đã đột ngột giảm vốn từ 500 xuống còn 4 tỷ đồng; Ngân Lượng cũng giảm 85% vốn (08/10/25 22:21)
- Cảnh tượng "nghẹt thở" sau Tết đoàn viên (08/10/25 22:15)
- HLV Kim Sang-sik nói thẳng về bê bối của ĐT Malaysia, nêu ra điều cực kỳ quan trọng cho ĐT Việt Nam (08/10/25 22:00)
- Công an xác minh clip tàu hỏa húc văng bàn ghế ở phố cà phê đường tàu Hà Nội (08/10/25 21:40)
- Cháy nhà ở Lâm Đồng khiến 2 vợ chồng thiệt mạng: Thông tin mới nhất (08/10/25 21:20)
- Đám cưới Selena Gomez lộ vật thể đáng ngờ phải giấu vội khi bị quay đến (08/10/25 21:12)




