WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Drupal phát hành bản cập nhật CMS Core vá nhiều lỗ hổng
Drupal vừa phát hành bản cập nhật an ninh, xử lý nhiều lỗ hổng ở mức nghiêm trọng vừa trong Drupal Core, có thể cho phép kẻ tấn công từ xa tấn công hàng trăm ngàn website.
Theo các khuyến cáo của Drupal, tất cả các lỗ hổng an ninh mà hãng vá trong tháng 4 này xuất phát từ các thư viện của bên thứ ba bao gồm Drupal 8.6, Drupal 8.5 hoặc thấp hơn và Drupal 7.
Một trong số đó là lỗ hổng XSS nằm trong plugin của bên thứ ba, được gọi là JQuery, thư viện JavaScript phổ biến nhất đang được hàng triệu trang web sử dụng và cũng được tích hợp sẵn trong Drupal Core.
Tuần trước, JQuery đã phát hành phiên bản mới nhất jQuery 3.4.0 để vá một lỗ hổng được báo cáo, chưa có số CVE, ảnh hưởng đến tất cả các phiên bản trước đó của thư viện cho đến nay.
"jQuery 3.4.0 bao gồm một bản sửa lỗi cho hành vi ngoài ý muốn khi sử dụng jQuery.extend (true, {}, ...). Nếu một đối tượng nguồn không được xác nhận có chứa một thuộc tính __proto__, nó có thể mở rộng Object.prototype", theo khuyến cáo của Drupal.
"Lỗ hổng này có thể bị khai thác với một số mô-đun Drupal".
Ba lỗ hổng an ninh còn lại nằm trong các thành phần PHP của Symfony được sử dụng trong Drupal Core, có thể dẫn đến các cuộc tấn công kịch bản chéo trang (CVE-2019-10909), thực thi mã từ xa (CVE-2019-10910) và bỏ qua xác thực (CVE-2019-1091).
Bạn nên cài đặt bản cập nhật mới nhất của CMS càng sớm càng tốt:
• Nếu bạn đang sử dụng Drupal 8.6, hãy cập nhật lên Drupal 8.6.15.
• Nếu bạn đang sử dụng Drupal 8.5 hoặc thấp hơn, hãy cập nhật lên Drupal 8.5.15.
• Nếu bạn đang sử dụng Drupal 7, hãy cập nhật lên Drupal 7.66.
Gần hai tháng trước, các nhà bảo trì Drupal đã vá một lỗ hổng RCE quan trọng trong Drupal Core mà không tiết lộ bất kỳ chi tiết kỹ thuật nào. Lỗ hổng có thể cho phép kẻ tấn công từ xa hack trang web của khách.
Mã khai thác PoC cho lỗ hổng đã được công bố công khai trên Internet chỉ hai ngày sau khi bản vá phần mềm được phát hành.
Sau đó, nhiều cá nhân và nhóm tin tặc bắt đầu khai thác lỗ hổng để cài đặt các công cụ khai thác đào tiền ảo trên các trang web Drupal có lỗ hổng chưa được cập nhật CMS lên phiên bản mới nhất.
Năm ngoái, hàng trăm ngàn trang web Drupal đã trở thành mục tiêu của hacker thông qua hàng loạt cuộc tấn công lợi dụng 2 lỗ hổng thực thi mã từ xa quan trọng khác nhau là Drupalgeddon2 và Drupalgeddon3.
Các cuộc tấn công này cũng được khởi phát ngay sau khi mã khai thác PoC cho cả hai lỗ hổng được công bố trên Internet, theo sau là các nỗ lực khai thác và quét Internet trên quy mô lớn.
Theo các khuyến cáo của Drupal, tất cả các lỗ hổng an ninh mà hãng vá trong tháng 4 này xuất phát từ các thư viện của bên thứ ba bao gồm Drupal 8.6, Drupal 8.5 hoặc thấp hơn và Drupal 7.
Tuần trước, JQuery đã phát hành phiên bản mới nhất jQuery 3.4.0 để vá một lỗ hổng được báo cáo, chưa có số CVE, ảnh hưởng đến tất cả các phiên bản trước đó của thư viện cho đến nay.
"jQuery 3.4.0 bao gồm một bản sửa lỗi cho hành vi ngoài ý muốn khi sử dụng jQuery.extend (true, {}, ...). Nếu một đối tượng nguồn không được xác nhận có chứa một thuộc tính __proto__, nó có thể mở rộng Object.prototype", theo khuyến cáo của Drupal.
"Lỗ hổng này có thể bị khai thác với một số mô-đun Drupal".
Ba lỗ hổng an ninh còn lại nằm trong các thành phần PHP của Symfony được sử dụng trong Drupal Core, có thể dẫn đến các cuộc tấn công kịch bản chéo trang (CVE-2019-10909), thực thi mã từ xa (CVE-2019-10910) và bỏ qua xác thực (CVE-2019-1091).
Bạn nên cài đặt bản cập nhật mới nhất của CMS càng sớm càng tốt:
• Nếu bạn đang sử dụng Drupal 8.6, hãy cập nhật lên Drupal 8.6.15.
• Nếu bạn đang sử dụng Drupal 8.5 hoặc thấp hơn, hãy cập nhật lên Drupal 8.5.15.
• Nếu bạn đang sử dụng Drupal 7, hãy cập nhật lên Drupal 7.66.
Gần hai tháng trước, các nhà bảo trì Drupal đã vá một lỗ hổng RCE quan trọng trong Drupal Core mà không tiết lộ bất kỳ chi tiết kỹ thuật nào. Lỗ hổng có thể cho phép kẻ tấn công từ xa hack trang web của khách.
Mã khai thác PoC cho lỗ hổng đã được công bố công khai trên Internet chỉ hai ngày sau khi bản vá phần mềm được phát hành.
Sau đó, nhiều cá nhân và nhóm tin tặc bắt đầu khai thác lỗ hổng để cài đặt các công cụ khai thác đào tiền ảo trên các trang web Drupal có lỗ hổng chưa được cập nhật CMS lên phiên bản mới nhất.
Năm ngoái, hàng trăm ngàn trang web Drupal đã trở thành mục tiêu của hacker thông qua hàng loạt cuộc tấn công lợi dụng 2 lỗ hổng thực thi mã từ xa quan trọng khác nhau là Drupalgeddon2 và Drupalgeddon3.
Các cuộc tấn công này cũng được khởi phát ngay sau khi mã khai thác PoC cho cả hai lỗ hổng được công bố trên Internet, theo sau là các nỗ lực khai thác và quét Internet trên quy mô lớn.
Nguồn: The Hacker News