Lần thứ hai trong một tháng, Drupal phát hiện lỗi khiến nền tảng này dễ bị tấn công, cho phép tin tặc điều khiển từ xa và ăn cắp cookie, cài keylog, lừa đảo…
Đội ngũ bảo mật của Drupal – nhóm phát hiện ra lỗi cho biết, khung quản lý mã nguồn mở dễ bị tấn công bằng phương thức XSS, nguyên nhân nằm ở plugin CKEditor từ bên thứ ba, vốn tích hợp trên lõi của Drupal để giúp quản trị viên và người dùng tạo nội dung tương tác.
CKEditor là một trình soạn thảo WYSIWYG phổ biến dựa trên JavaScript, được nhiều website sử dụng và cài sẵn.
Theo tư vấn bảo mật từ CKEditor, lỗ hổng XSS xảy ra do việc xác nhận không hợp lệ đối với thẻ “img” trong plugin Enchaned Image xuất hiện từ phiên bản CKEditor 4.5.11 về sau. Điều này cho phép kẻ tấn công mạng thực thi mã HTML và JavaScript tùy ý trên trình duyệt của nạn nhân, sau đó nắm quyền truy xuất các thông tin nhạy cảm.
“Lỗ hổng bắt đầu từ việc thực thi XSS trong CKEditor khi sử dụng plugin image2”, đại diện nhóm bảo mật của Drupal cho biết. CKEditor đã vá lỗ hổng với bản cập nhật 4.9.2 và nhóm Drupal cũng vá CMS bằng các bản 8.5.2, 8.4.7.
Plugin CKEditor trong Drupal 7.x được cấu hình tải từ máy chủ CDN nên không bị ảnh hưởng bởi lỗi nêu trên. Nếu người dùng cài đặt plugin này thủ công, các chuyên gia khuyên nên sớm tải và nâng cấp bản mới nhất từ trang chủ để tránh rủi ro.
Drupal cũng vừa vá lỗi nghiêm trọng khác có tên Drupalgeddon2. Đây là một lỗi thực thi mã điều khiển cho phép kẻ tấn công thêm mã độc từ xa vào bộ cài đặt Drupal mặc định, ảnh hưởng tới mọi phiên bản Drupal từ 6 tới 8.
Tuy nhiên, do thói quen lười cập nhật hệ thống và website thường kỳ của người dùng, tin tặc đã lợi dụng lỗ hổng trên diện rộng để cài cắm công cụ đào tiền ảo, backdoor…
Theo: The Hacker News