Lỗ hổng trên Drupal đặt hơn 120.000 website trước nguy cơ bị tấn công

[WhiteHat News #ID:2017]

Một lỗ hổng nghiêm trọng được tìm thấy trên Drupal, một nền tảng được nhiều website sử dụng. Hiện tại lỗ hổng đã được vá, nhưng trước đó bên phát triển Drulap khuyến cáo người dùng chuyển module vì module bị ảnh hưởng không được update trong nhiều năm.

Ngày 12/4, nhóm an ninh của Drupal thông báo tới người dùng về module của bên thứ ba có tên References bị ảnh hưởng bởi một lỗ hổng an ninh nghiêm trọng. Module này hiện đang được hơn 121.000 website sử dụng, cho phép người dùng thêm các tham chiếu giữa các nút (node) để có kiến trúc thông tin phức tạp hơn.

Module References vốn đã được gắn mác ngừng hỗ trợ bởi Drupal vì lần cập nhật cuối cùng của module này là tháng 2/2013. Tuy nhiên, vào ngày 14/4, Drupal thông báo đã tìm thấy bộ phận hỗ trợ bảo trì mới cho module này.

Ngày 18/4, Drupal thông báo lỗ hổng đã được vá ở phiên bản References 7.x-2.2 mới được phát hành.

Drupal chưa cung cấp bất kỳ thông tin nào về lỗ hổng để tránh bị khai thác, tuy nhiên các chuyên gia lo ngại rằng hacker có thể tự tìm thấy lỗ hổng này qua việc phân tích mã nguồn. Theo thông báo của Drupal, thông tin về lỗ hổng sẽ được công bố trong vài tuần nữa.

Các website sử dụng module References của Drupal có thể dùng thử Entity Reference, một module cung cấp chức năng tương tự. Có một module đặc biệt dùng để chuyển từ References sang Entity Reference.

Lỗ hổng Drupal “nổi tiếng” nhất là “Drupalgeddon”, đến nay vẫn bị khai thác dù bản vá đã được phát hành gần 2 năm.

Nguồn: Securityweek​