Lỗ hổng Drupalgeddon2 vẫn đang tồn tại trong rất nhiều website trên thế giới. Hơn 115.000 website trên thế giới có khả năng bị tấn công thực thi mã từ xa (RCE), chiếm quyền điều khiển, chèn backdoor, mã độc thông qua lỗ hổng này. Drupalgeddon2 đã được công bố gần hai tháng trước.
Hơn 115.000 website tồn tại lỗ hổng Drupalgeddon2
Drupalgeddon2 (mã CVE-2018-7600) nằm trong các phiên bản Drupal từ 6 đến 8. Lỗ hổng cho phép hacker có thể thực thi mã từ xa, chiếm toàn quyền kiểm soát website. Lỗ hổng nằm trong tính năng Form API trong core của Drupal, hacker có thể chèn và thực thi mã tùy ý từ xa (RCE) mà không cần xác thực, thông qua các tham số trên URL của website.
Một chuyên gia bảo mật đã thực hiện quét gần 500.000 website sử dụng Drupal 7 trên toàn thế giới. Kết quả là hơn 115.000 website vẫn chưa được cập nhật bản vá lỗ hổng. Các website tồn tại Drupalgeddon2 có khả năng bị tấn công chiếm quyền, chèn mã độc bất cứ lúc nào. Nhiều website đã bị hacker tấn công và chèn mã độc đào tiền ảo, loại mã độc sử dụng Coinhive (Monero Javascript Mining) để nhúng vào các website, tận dụng tài nguyên máy tính của người dùng khi truy cập website để đào tiền ảo Monero cho tin tặc thông qua mã Javascript.
Kết quả phân tích tại Việt Nam
Tại lần kiểm tra thứ 2 này, CyStack phát hiện vẫn còn 379 website (tương đương hơn 32.6%) Drupal tại Việt Nam chưa được khắc phục lỗ hổng. Trong số này có nhiều website quan trọng của các doanh nghiệp thương mại điện tử, ngân hàng, công ty startup, tập đoàn công nghệ, các cơ quan nhà nước tại Việt Nam…
Giải pháp cho quản trị website
Sau khi Drupalgeddon2 được công bố, CyStack Platform đã cập nhật bộ nhận diện Drupalgeddon2 trong tính năng Scanning của sản phẩm. Tính năng giúp quản trị viên xác định chính xác các vấn đề bảo mật, lỗ hổng trên các website. Kèm theo đó là mức độ nguy hiểm và phương án khắc phục cho các lỗ hổng. Ngoài ra, CyStack Platform có khả năng quét các loại mã độc đã lây nhiễm vào website. Bao gồm mã độc đào tiền ảo, mã độc spam, webshell, backdoor…
CyStack Platform là một nền tảng gồm nhiều các ứng dụng bảo mật được phát triển trên mô hình SaaS, bất cứ ai cũng có thể sử dụng thông qua giao diện Web đơn giản. Đăng ký tại: https://app.cystack.net.
Cập nhật bản vá cho lỗ hổng Drupalgeddon2
Hiện tại Drupal đã đưa ra bản vá và bản cập nhật mới cho lỗ hổng. Cụ thể, với phiên bản 7.x bạn cần nâng cấp lên Drupal 7.58, phiên bản 8.5.x, cần nâng cấp lên Drupal 8.5.1. Riêng phiên bản 8.3.x và 8.4.x cần nâng cấp lên 8.3.9 và 8.4.6, hoặc sử dụng bản vá riêng của Drupal.
Trong trường hợp không thể cài đặt các phiên bản mới, các quản trị có thể cập nhật bản vá thủ công theo hướng dẫn của Drupal.
Cách khắc phục khi bị hack
Với các website đã bị tin tặc tấn công chiếm quyền, chèn backdoor, lây nhiễm mã độc vào website. Các quản trị viên có thể sử dụng tính năng Website Malware Removal (Responding) trong CyStack Platform. Tính năng này cho phép phát hiện mã độc và hỗ trợ làm sạch mã độc cho website.
CyStack