-
Cách chạy ChatGPT không cần mạng Internet
-
Một ngày huấn luyện của đội hình máy bay chiến đấu tham gia sự kiện A80
-
Không phải nghèo đói, bi kịch lớn nhất của tuổi già là khi con cái đã qua tuổi 30 vẫn làm hai điều
-
Vụ Suni Hạ Linh hát hội chợ Trung Quốc: Trương Bá Chi - Châu Kiệt Luân cũng chạy show đám cưới, siêu thị, có phải dấu hiệu hết thời?
-
Càn quét YouTube nhờ Sing! Asia và Em Xinh Say Hi, Phương Mỹ Chi kiếm ít nhất 11 tỷ trong 1 năm
-
Mã độc rút trộm tiền nhắm vào người dùng Việt, nên cảnh giác với ứng dụng này
-
Sau sinh, ai là người bế bé đầu tiên? Mẹ đừng chọn qua loa vì lý do không ngờ sau đây
-
Vợ chồng cãi nhau vì cái máy rửa bát 11 triệu: Đoạn tin nhắn tiết lộ một vấn đề đáng suy ngẫm
-
Thời điểm Apple ra mắt iPhone 17
-
Cận cảnh khán đài 30.000 chỗ ngồi tại Quảng trường Ba Đình phục vụ đại lễ Quốc khánh 2-9
-
Nhan sắc gây sốc của Kim Tae Hee, dụi mắt 1000 lần vẫn không tin đây là quốc bảo nhan sắc xứ Hàn
-
"Cháy vé" máy bay dịp A80, khách sạn kín phòng, lượng tìm kiếm tăng vọt vì “concert quốc gia”
-
Đón mẹ già lên thành phố sống chung để báo hiếu, nửa năm sau tôi phải thừa nhận một thực tế đau lòng
-
"Có anh nơi ấy bình yên" tập 8: Bằng đưa phong bì dày cộp để cảm ơn chủ tịch Thứ
-
Xe bán tải biển "siêu đẹp" vượt đèn đỏ, nữ tài xế ngỡ ngàng khi lộ sự thật
-
7 nét tướng của phụ nữ dễ lấy chồng giàu sang phú quý
-
Năm sinh nào hết tuổi đi nghĩa vụ quân sự 2026?
-
Tử vi thứ 6 ngày 8/8/2025 của 12 con giáp: Dậu thuận lợi, Tý đón lộc
-
Rầm rộ tin đồn chị gái của 1 sao nam đình đám Vbiz bị xử lý vì liên quan đến chất cấm
-
Gia đình nhiều người bị "bắt cóc online", thao túng tâm lý đến mất kiểm soát
Công nghệ
29/04/2018 20:05Lỗ hổng trên Drupal: Website đang trong tình trạng nguy hiểm

Trước đó, Báo điện tử VietnamPlus đã đăng tải thông tin Drupal - một nền tảng mã nguồn mở được sử dụng rộng rãi trên thế giới và nhiều website tại Việt Nam - đang tồn tại lỗ hổng bảo mật cho phép hacker có thể chiếm quyền điều khiển máy chủ.
Theo CyStack, có khoảng 500 website Việt Nam có nguy cơ bị chiếm quyền điều khiển nếu không thực hiện các biện pháp ngăn chặn.
Về vấn đề này, phía VNCERT cho hay, số lượng website Drupal tại Việt Nam là khá nhiều nhưng thường được sử dụng đối với các website có quy mô vừa và nhỏ.
Qua việc hỗ trợ một số đơn vị khắc phục, VNCERT cho rằng, website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ trang/cổng thông tin điện tử được phát triển trên nền tảng Drupal, do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Do đó, VNCERT đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal để có phương án kịp thời.
VNCERT cũng khuyến nghị các tổ chức nếu dùng Drupal chú ý 2 lỗ hổng an toàn thông tin. Trong đó, một là, lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002), được công bố ngày 28/3; thứ hai là lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003), được công bố ngày 18/4/2018.
Phía VNCERT cũng đưa ra hướng dẫn các tổ chức xử lý, khắc phục với từng lỗ hổng và khuyến nghị “việc cập nhật có thể gặp trục trặc” trong khi đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó, các tổ chức cần thử nghiệm kỹ trước khi thực hiện các biện pháp cập nhật cho những hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.
Mới đây, VNCERT tiếp tục ra văn bản thứ hai về vấn đề này. Theo đó, VNCERT cho hay đã phát hiện các phương thức mới thực hiện tấn công các lỗ hổng của Drupal thông qua việc sử dụng các mạng máy tính ma với lượng máy tính thành viên lớn. Khi tin tặc khai thác thành công lỗ hổng an toàn thông tin nói trên, tin tặc sẽ tải lên tệp tin mã độc lên máy chủ và sử dụng như một bàn đạp thực hiện tấn công từ chối dịch vụ (DDoS) hoặc sử dụng tài nguyên của máy chủ để thực hiện hành vi đào tiền ảo trái phép.
Ngoài ra, tin tặc có thể sửa đổi mã nguồn thực hiện các hành vi nguy hiểm hơn việc tấn công DDoS hoặc đào tiền ảo. Đặc biệt, khi sử dụng các hệ thống botnet để thực hiện tấn công thì phạm vi tấn công sẽ mở rộng rất nhanh, đặt các website trên nền tảng Drupal chưa được bảo vệ an toàn trong tình trạng hết sức nguy hiểm.
VNCERT yêu cầu các tổ chức khi phát hiện các ứng dụng có sử dụng Drupal không được cập nhật, cần thực hiện giám sát và ngăn chặn kết nối đến các máy chủ điều khiển mã độc tấn công; rà soát, kiểm tra để phát hiện các tệp tin mã độc trên hệ thống…/.
Theo Trung HIền (Vietnam+)








- Tesla Cybertruck làm bia tập bắn cho Không quân Mỹ (11:10)
- Subeo - con trai 15 tuổi của Cường Đô La vào tập đoàn gia đình, giữ hàng loạt vị trí khó tin (11:06)
- Cách chạy ChatGPT không cần mạng Internet (11:02)
- Barca tặng người hùng thời Hansi Flick cho Al Nassr của Ronaldo (11:02)
- Một ngày huấn luyện của đội hình máy bay chiến đấu tham gia sự kiện A80 (26 phút trước)
- Bị chê hát không hay, người đàn ông ném bát vào mặt hàng xóm, gây thương tích 49% (31 phút trước)
- Không phải nghèo đói, bi kịch lớn nhất của tuổi già là khi con cái đã qua tuổi 30 vẫn làm hai điều (33 phút trước)
- Giá vàng tăng vọt (37 phút trước)
- Chị Đẹp 9x đối mặt với tâm lý bất ổn khi mang thai con đầu lòng (37 phút trước)
- Vụ 18 sân pickleball trái phép ở Cầu Giấy: Chính quyền vào cuộc, tất cả sân buộc phải dừng hoạt động (38 phút trước)




