Nhiều website Drupal chưa được vá lỗ hổng bảo mật

Các trang web chạy phiên bản 7 của Drupal CMS (hệ thống quản lý nội dung) chưa được cập nhật bản 7.32 có thể bị tấn công bởi lỗ hổng SQL Injection rất nguy hiểm.

Các quản trị viên của trang web Drupal nên cảnh giác và nên áp dụng bản vá được phát hành bởi các nhà phát triển CMS trong phiên bản mới của sản phẩm.

Các lỗ hổng bảo mật  như CVE-2014-3704 cho phép kẻ tấn công thực hiện các lệnh tùy chỉnh từ xa không cần xác thực, bằng cách gửi yêu cầu SQL đặc biệt chứa mã độc, có thể xâm nhập vào trang web; vấn đề này là đặc biệt nghiêm trọng. Bộ khai thác tận dụng một API được thiết kế để làm giảm thiểu các truy vấn SQL và ngăn chặn loại sự cố này.

Các nhà phát triển Drupal đã phát hành một bản cập nhật vào thứ tư và thông báo rằng các cuộc tấn công tự động lợi dụng lỗ hổng này đã được ghi lại chỉ vài giờ sau khi lỗ hổng được công khai.

Thống kê cho thấy hơn 400.000 trang web chạy trên Drupal. Theo số liệu được công bố bởi w3techs vào ngày 30 tháng 10, 1,9% tất cả các trang web trực tuyến dựa trên Drupal và 1,3% trong số chúng chạy phiên bản 7 của CMS; trong số này, chỉ có 8,2% được cập nhật lên bản 7.32.

Vì độ phức tạp thấp, lỗ hổng được coi là rất nghiêm trọng và nhiều công ty an ninh công bố tại thời điểm đó rằng một số người dùng của sử dụng Drupal đã bị xâm nhập.

Khuyến cáo

Các quản trị website drupal chưa cập nhật hoặc cập nhật muộn các bản vá nên thực hiện các biện pháp sau để đảm bảo an toàn cho hệ thống website:

• Rà soát  các trang web của tất cả các backdoors có thể đang tồn tại trên website. Bạn có thể tham khảo bài viết về kinh nghiệm tìm kiếm webshell trong mã nguồn tại đây.
• Khôi phục lại một bản sao lưu của trang web và thực hiện cập nhật lên phiên bản mới nhất của Drupal 7.32
• Cấu hình an toàn cho việc thực thi và phân quyền trên website.

Softpedia