Tin từ Sở ngành, Địa phương
 
Cảnh báo lỗ hỏng an toàn thông tin hệ quản trị nội dung Drupal 
03/05/2018 
 

Ngày 23/4/2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) có Công văn số 109/VNCERT-KTHT&GS cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal,

Hệ quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Cổng/trang thông tin điện tử, ứng dụng web cho các cơ quan đơn vị với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại CSDL như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các CSDL NoSQL.

Trong hai năm 2017 và 2018, Drupal đã công bố 7 lỗ hổng bảo mật, nhưng chỉ riêng từ cuối tháng 3 đến nay đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao đến nghiêm trọng cần được theo dõi xử lý khẩn cấp. Số lượng website Drupal tại Việt Nam là khá nhiều nhưng Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức Ngân hàng, tài chính.

Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, VNCERT nhận thấy thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận thành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ Cổng/trang thông tin điển tử được phát triển trên nền tảng Drupal nên dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng an toàn thông tin đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin. Trong trường hợp các website có sử dụng Drupal cần chú ý 02 lỗ hổng an toàn thông tin sau:

1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote code Execution)

Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002 có mức độ nghiêm trọng.

Giải pháp cập nhật Drupal

- Khi sử dụng Drupal 7.x cần nâng cấp phiên bản 7.5.8. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo đường dẫn:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

- Sử dụng phiên bản Drupal 8.5.x cần cập nhật lên phiên bản 8.5.1. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá theo đường dẫn: https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

- Nếu đang sử dụng các phiên bản Drupal 8.3 hoặc 8.4 thì nhanh chóng nâng cấp lên phiên bản 8.5.1. Trong trường hợp không thể thực hiện thì có thể sử dụng hai biện pháp tạm thời sau (tuy nhiên các biện pháp này vẫn còn tiềm ẩn nhiều rủi ro khác):

+ Nếu đang sử dụng Drupal 8.3.x thì nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá theo đường dẫn:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

+ Nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá theo đường dẫn:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Các giải pháp hỗ trợ khác

Thiết lập thiết bị IPS, tường lửa bảo vệ lớp 7 hoặc tường lửa bảo vệ ứng dụng web (Web Application firewall) và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng.

Với các thiết bị chưa được nhà sản xuất cập nhật khả năng ngăn chặn tấn công CVE-2018-7600 (hoặc SA-CORE-2018-002), thì tham khảo đoạn mã phát hiện tấn công được viết cho phần mềm phát hiện xâm nhập nguồn mở Snort:

alert http $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:Drupalgeddon2 (CVE-2018-7600); flow:to_server,established;

content:POST; http_method; content:markup; fast_pattem;

content:/user/register;http_uri;

pcre:/(access_callback|pre_render|lazy_builder|post_render)/i; classtype:web- application-attack; sid:9000110; rev:1

2. Lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting)

Mã lỗi quốc tế: SA-CORE-2018-003 có mức độ nghiêm trọng cao.

Giải pháp xử lý

- Sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7

- Sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN.

- Nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng như (sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1, thì cần cập nhật thư viện third-party JavaScript library tại đường dẫn:  https://ckeditor.com/ckeditor-4/download/

Việc cập nhật phần mềm Drupal cho các Cổng/trang thông tin điện tử có thể dẫn đến một số trục trặc, trong khi đó đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

 

(Kèm Nội dung Công văn số 109/VNCERT-KTHT&GS)

Phòng CNTT