}
Lỗ hổng được đặt tên CVE-2014-3704, có thể được khai thác để thực hiện tấn công SQL Injection qua các truy vấn (queries) đã được tin tặc thay đổi phục vụ mục đích tấn công.
Trớ trêu ở chỗ, khu vực bị tấn công trên hệ thống lại chính là lớp cơ sở dữ liệu trừu tượng (database abstraction) được thiết kế chuyên biệt để chặn các truy vấn SQL bị thay đổi để tác động đến cơ sở dữ liệu.
Các chuyên gia của Drupal cho biết, cuộc tấn công thông qua khai thác lỗ hổng “có thể dẫn đến leo thang đặc quyền, thực thi PHP tùy ý” theo nội dung truy vấn đã bị thay đổi.
Vấn đề thực sự nghiêm trọng
Drupal là một CMS (hệ thống quản lý nội dung) mã nguồn mở được sử dụng bởi hàng triệu website trên thế giới. Lỗ hổng CVE-2014-3704 ảnh hưởng đến các phiên bản Drupal 7.x đến 7.32, cho phép tin tặc đóng vai trò như quản trị trên site Drupal và tiến hành các hoạt động bất chính như phát tán malware đến những người truy cập vào trang web hoặc chuyển hướng họ đến các “vùng” độc hại.
Dù cho bản vá lỗ hổng đã được đưa ra thì không phải tất cả các quản trị đều cập nhật, đôi khi là do các giới hạn về kỹ thuật liên quan.
Tuy nhiên, việc cập nhật bản vá an ninh cho CMS của Drupal nên được ưu tiên hàng đầu vào thời điểm này, do các tin tặc đã sẵn sàng cho việc tìm kiếm các trang web có thể bị tấn công qua khai thác lỗ hổng.
Vấn đề trở nên cấp bách hơn nữa khi đoạn mã thực thi proof-of-concept đã được công khai trên mạng như trên trang Reddit hay Pastebin.
Một số cuộc tấn công khai thác lỗ hổng CVE-2014-3704 đã diễn ra
Với đoạn mã tấn công đã được đưa ra sẵn sàng, toàn bộ những việc hacker phải làm chỉ là thay đổi đoạn code cho phù hợp với mục đích và bắt đầu cuộc tấn công.
Chuyên gia Steven Adair của hãng an ninh mạng Volexity cho biết lỗ hổng Drupal đã được khai thác thành công để xâm nhập vào hệ thống của một số khách hàng của hãng.
“Volexity đã theo dõi các cuộc tấn công nhắm vào một số khách hàng của hãng, bao gồm cả tấn công có chủ đích và không có chủ đích. Việc scan các trang web đề thực hiện tấn công được thực hiện trên diện rộng, với cả các trang không sử dụng Drupal”, chuyên gia cho biết.
Thậm chí trong một số trường hợp, đoạn mã thực thi proof-of-concept đã được sử dụng mà không cần có sự thay đổi nào.
Có vẻ như phần lớn tin tặc xâm nhập vào các trang web để kiếm lợi về tài chính, tuy nhiên Volexity cũng cho biết một số cuộc tấn công bắt từ các địa chỉ IP liên kết với các nhóm APT (Advanced Persistent Threat) thực hiện các cuộc tấn công có chủ đích.
Volexity là một trong những công ty an ninh mạng tham gia vào Operation SMN – nhóm hợp tác thu thập thông tin về các cách thức và công cụ một nhóm tin tặc được cho là đến từ Trung Quốc sử dụng để thực hiện tấn công. Từ đó, Operation SMN sẽ xây dựng một hàng rào an ninh chống lại nhóm tin tặc này.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment