WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
An ninh mạng tháng 2/2022: Framework open-source cho phát triển web hữu ích nhưng tồn tại nhiều rủi ro
Bức tranh an ninh mạng tháng 2 nổi bật với điểm nhấn là hàng loạt lỗ hổng trong hai nền tảng phát triển thương mại điện tử mã nguồn mở phổ biến WordPress và Magento. Đây không phải tháng đầu tiên hai framework open-source dính lỗi nhưng các lỗ hổng tháng này đều ở mức cực kỳ nghiêm trọng (điểm CVSS lên tới 9.9) và với số lượng nhiều. Đa số các lỗ hổng này có thể dẫn tới thực thi mã tuỳ ý, nghiêm trọng hơn là thông tin người dùng có thể bị đánh cắp.
Việc sử dụng các framework open-source rất hữu ích và tiện lợi mỗi khi xây dựng một website. Tuy nhiên, bản chất “miễn phí’’của nguồn mở lại khiến chúng bị hacker “để ý” và tìm mọi cách khai thác. Ngoài ra, bản thân ngôn ngữ PHP mà các framework sử dụng cũng tồn tại rất nhiều lỗ hổng. Các plugin tích hợp lại chưa được đánh giá an ninh đúng mức. Đây đều là những nguyên nhân khiến framework bị khai thác tích cực đến vậy.
Đầu tháng 2, một plugin với hơn một triệu lượt cài đặt của WordPress, Essential Addons for Elementor, tồn tại lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã tùy ý trên các website bị xâm nhập. Lỗ hổng cho phép bất kỳ người dùng nào, xác thực hay ủy quyền, thực hiện một cuộc tấn công truy cập trái phép file (File inclusion) cục bộ hoặc tấn công thực thi mã từ xa.
Chưa đầy 1 tuần sau, một plugin khác của WordPress là PHP Everywhere, đang được sử dụng trên 30.000 trang web trên toàn thế giới, bị phát hiện tồn tại nhiều lỗ hổng an ninh. Các lỗ hổng, đều ở mức nghiêm trọng (CVSS lên tới 9.9), có thể bị hacker lợi dụng để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Cuối tháng 2, Wordpress buộc phải phát hành bản vá cho plugin UpdraftPlus với hơn 3 triệu lượt cài đặt. Lỗ hổng này có thể được sử dụng để tải dữ liệu từ tài khoản cá nhân trên các website.
Về phía Magento, giữa tháng 2, ứng dụng mã nguồn mở này bị phát hiện tồn tại lỗ hổng an ninh nghiêm trọng đang bị khai thác tích cực. Hacker còn sử dụng kết hợp phần mềm độc hại nhằm đánh cắp thông tin thẻ tín dụng. Lỗ hổng ảnh hưởng 500 trang web, buộc Adobe phải tung ra loạt bản vá để khắc phục.
Sau đó ít ngày, Adobe tiếp tục phải phát hành các bản cập nhật cho Magento, giải quyết lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã tùy ý.
Khai thác thành công các lỗ hổng trên những framework mã nguồn mở này, hacker có thể đánh cắp thông tin khách hàng, tiếp tục thực hiện những hành vi xấu nhằm trục lợi. Vì vậy, nếu người phát triển website, ứng dụng không “cẩn thận” trong việc sử dụng các framework mã nguồn mở miễn phí, rất dễ khiến người dùng trở thành “nạn nhân bất đắc dĩ” mà không hề hay biết.
Các chuyên gia an ninh mạng WhiteHat khuyến cáo, việc hạn chế sử dụng các framework open-source miễn phí là điều rất khó; vậy nên, để tránh bị tấn công, các quản trị viên cần thường xuyên cập nhật bản vá càng sớm càng tốt đồng thời chỉ lựa chọn tích hợp những plugin tin cậy từ các nhà cung cấp uy tín.
Việc sử dụng các framework open-source rất hữu ích và tiện lợi mỗi khi xây dựng một website. Tuy nhiên, bản chất “miễn phí’’của nguồn mở lại khiến chúng bị hacker “để ý” và tìm mọi cách khai thác. Ngoài ra, bản thân ngôn ngữ PHP mà các framework sử dụng cũng tồn tại rất nhiều lỗ hổng. Các plugin tích hợp lại chưa được đánh giá an ninh đúng mức. Đây đều là những nguyên nhân khiến framework bị khai thác tích cực đến vậy.
Đầu tháng 2, một plugin với hơn một triệu lượt cài đặt của WordPress, Essential Addons for Elementor, tồn tại lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã tùy ý trên các website bị xâm nhập. Lỗ hổng cho phép bất kỳ người dùng nào, xác thực hay ủy quyền, thực hiện một cuộc tấn công truy cập trái phép file (File inclusion) cục bộ hoặc tấn công thực thi mã từ xa.
Chưa đầy 1 tuần sau, một plugin khác của WordPress là PHP Everywhere, đang được sử dụng trên 30.000 trang web trên toàn thế giới, bị phát hiện tồn tại nhiều lỗ hổng an ninh. Các lỗ hổng, đều ở mức nghiêm trọng (CVSS lên tới 9.9), có thể bị hacker lợi dụng để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Cuối tháng 2, Wordpress buộc phải phát hành bản vá cho plugin UpdraftPlus với hơn 3 triệu lượt cài đặt. Lỗ hổng này có thể được sử dụng để tải dữ liệu từ tài khoản cá nhân trên các website.
Về phía Magento, giữa tháng 2, ứng dụng mã nguồn mở này bị phát hiện tồn tại lỗ hổng an ninh nghiêm trọng đang bị khai thác tích cực. Hacker còn sử dụng kết hợp phần mềm độc hại nhằm đánh cắp thông tin thẻ tín dụng. Lỗ hổng ảnh hưởng 500 trang web, buộc Adobe phải tung ra loạt bản vá để khắc phục.
Sau đó ít ngày, Adobe tiếp tục phải phát hành các bản cập nhật cho Magento, giải quyết lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã tùy ý.
Khai thác thành công các lỗ hổng trên những framework mã nguồn mở này, hacker có thể đánh cắp thông tin khách hàng, tiếp tục thực hiện những hành vi xấu nhằm trục lợi. Vì vậy, nếu người phát triển website, ứng dụng không “cẩn thận” trong việc sử dụng các framework mã nguồn mở miễn phí, rất dễ khiến người dùng trở thành “nạn nhân bất đắc dĩ” mà không hề hay biết.
Các chuyên gia an ninh mạng WhiteHat khuyến cáo, việc hạn chế sử dụng các framework open-source miễn phí là điều rất khó; vậy nên, để tránh bị tấn công, các quản trị viên cần thường xuyên cập nhật bản vá càng sớm càng tốt đồng thời chỉ lựa chọn tích hợp những plugin tin cậy từ các nhà cung cấp uy tín.
WhiteHat.vn
Chỉnh sửa lần cuối: