Drupal, hệ thống quản lý nội dung nguồn mở phổ biến, đã phát hành các bản cập nhật bảo mật để giải quyết nhiều lỗ hổng “nghiêm trọng vừa phải” trong Drupal Core có thể cho phép kẻ tấn công từ xa xâm phạm bảo mật của hàng trăm nghìn trang web.
Theo lời khuyên được các nhà phát triển Drupal công bố ngày hôm nay, tất cả các lỗ hổng bảo mật mà Drupal đã vá trong tháng này nằm trong các thư viện của bên thứ ba có trong Drupal 8.6, Drupal 8.5 trở về trước và Drupal 7.
Một trong những lỗi bảo mật là lỗ hổng cross-site scripting (XSS) nằm trong plugin của bên thứ ba, được gọi là JQuery, thư viện JavaScript phổ biến nhất đang được hàng triệu trang web sử dụng và cũng được tích hợp sẵn trong Drupal Core.
Tuần trước, JQuery đã phát hành phiên bản mới nhất jQuery 3.4.0 để vá lỗ hổng được báo cáo, lỗ hổng này chưa được chỉ định số CVE, ảnh hưởng đến tất cả các phiên bản trước của thư viện cho đến ngày đó.
“jQuery 3.4.0 bao gồm một bản sửa lỗi cho một số hành vi ngoài ý muốn khi sử dụng jQuery.extend(true, {}, …). Nếu một đối tượng nguồn chưa được làm sạch chứa một thuộc tính __proto__ có thể đếm được, thì nó có thể mở rộng Object.prototype gốc,” tư vấn giải thích.
“Có khả năng lỗ hổng này có thể bị khai thác với một số mô-đun Drupal.”
Ba lỗ hổng bảo mật còn lại nằm trong các thành phần Symfony PHP được sử dụng bởi Drupal Core có thể dẫn đến cross-site scripting (CVE-2019-10909), thực thi mã từ xa (CVE-2019-10910) và bỏ qua xác thực (CVE-2019-1091) các cuộc tấn công.
Xem xét mức độ phổ biến của các khai thác Drupal giữa các tin tặc, bạn nên cài đặt bản cập nhật mới nhất của CMS càng sớm càng tốt:
- Nếu bạn đang sử dụng Drupal 8.6, hãy cập nhật lên Drupal 8.6.15.
- Nếu bạn đang sử dụng Drupal 8.5 hoặc cũ hơn, hãy cập nhật lên Drupal 8.5.15.
- Nếu bạn đang sử dụng Drupal 7, hãy cập nhật lên Drupal 7.66.
Gần hai tháng trước, những người bảo trì Drupal đã vá lỗ hổng RCE nghiêm trọng trong Drupal Core mà không tiết lộ bất kỳ chi tiết kỹ thuật nào về lỗ hổng có thể cho phép kẻ tấn công từ xa xâm nhập trang web của khách hàng.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Nhưng bất chấp điều đó, mã khai thác bằng chứng khái niệm (PoC) cho lỗ hổng này đã được công khai trên Internet chỉ hai ngày sau khi nhóm phát hành phiên bản vá lỗi của phần mềm.
Và sau đó, một số cá nhân và nhóm tin tặc bắt đầu tích cực khai thác lỗ hổng để cài đặt các công cụ khai thác tiền điện tử trên các trang web Drupal dễ bị tổn thương không cập nhật CMS của họ lên phiên bản mới nhất.
Năm ngoái, những kẻ tấn công cũng đã nhắm mục tiêu vào hàng trăm nghìn trang web Drupal trong các cuộc tấn công hàng loạt bằng cách khai thác tự nhiên tận dụng hai lỗ hổng thực thi mã từ xa quan trọng riêng biệt, được đặt tên là Drupalgeddon2 và Drupalgeddon3.
Trong những trường hợp đó, các cuộc tấn công bắt đầu ngay sau khi mã khai thác PoC cho cả hai lỗ hổng được công bố trên Internet, sau đó là các nỗ lực khai thác và quét Internet quy mô lớn.
Tóm lại—Hãy vá các trang web của bạn trước khi quá muộn.
