Hôm nay, ngày 24/4/2018, ông Nguyễn Trọng Đường – Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã ký công văn gửi các đơn vị chuyên trách về CNTT, an toàn thông tin (ATTT) của Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia; các Tổng công ty, Tập đoàn kinh tế; các Tổ chức tài chính, Ngân hàng và Chứng khoán; các doanh nghiệp hạ tầng Internet, viễn thông, điện lực, hàng không, giao thông vận tải, dầu khí; và các đơn vị thuộc Bộ TT&TT để đề nghị các đơn vị này khẩn trương cập nhật bản vá lỗ hổng an toàn thông tin trên Drupal.

Công văn của VNCERT nêu rõ, qua công tác giám sát an toàn thông tin mạng, Trung tâm đã phát hiện các phương thức mới thực hiện tấn công các lỗ hổng của Drupal thông qua việc sử dụng các mạng máy tính ma với lượng máy tính thành viên lớn. Khi tin tặc khai thác thành công lỗ hổng an toàn thông tin nói trên, tin tặc sẽ tải lên tệp tin mã độc lên máy chủ và sử dụng như một bàn đạp thực hiện tấn công từ chối dịch vụ phân tán (DDoS) hoặc sử dụng tài nguyên của máy chủ để thực hiện hành vi đào tiền ảo trái phép.

VNCERT nhận định, với các lỗ hổng an toàn thông tin của Drupal như Trung tâm đã cảnh báo tại công văn 109/VNCERT-KTHT&GS ngày 23/4/2018, tin tặc hoàn toàn có thể nhanh chóng sửa đổi mã nguồn để thực hiện các tấn công nguy hiểm hơn việc DDOS hoặc đào tiền ảo. “Đặc biệt, khi sử dụng các hệ thống botnet để thực hiện tấn công thì phạm vi tấn công sẽ mở rộng rất nhanh, đặt các website trên nền tảng Drupal chưa được bảo vệ an toàn trong tình trạng hết sức nguy hiểm”, lãnh đạo VNCERT nhấn mạnh.

Trước diễn biến mới về tình hình tấn công vào lỗ hổng của Drupal, để đảm bảo công tác an toàn thông tin, đặc biệt là trong các ngày kỷ niệm cuối tháng 4, VNCERT đề nghị chủ quản hệ thống thông tin thực hiện ngay công văn 109/VNCERT-KTHT&GS ngày 23/4/2018 về cảnh báo lỗ hổng an toàn thông tin trên hệ quản trị nội dung Drupal.

Khi phát hiện các ứng dụng có sử dụng Drupal không được cập nhật kịp thời, các chủ quản hệ thống thông tin được đề nghị thực hiện giám sát và ngăn chặn kết nối đến các máy chủ điều khiển mã độc tấn công qua CVE-2018-7600 (C&C):

Danh sách các máy chủ điều khiển mã độc tấn công qua lỗ hổng CVE-2018-7600 của hệ quản trị nội dung Drupal (Nguồn: VNCERT)

Đồng thời, chủ quản hệ thống thông tin cần tiến hành rà soát, kiểm tra để phát hiện các tệp tin mã độc trên hệ thống, đối chiếu hàm băm Hash của các tệp tin nghi ngờ với danh mục mã băm theo như bảng dưới, nếu trùng khớp thì hệ thống đã bị nhiễm mã độc, cần xử lý và lập báo cáo cho cơ quan chuyên môn về ứng cứu sự cố.

Danh mục hàm băm.

Để biết thông tin chi tiết và đề nghị hỗ trợ kỹ thuật, các cơ quan, đơn vị cần liên hệ đầu mối của Trung tâm VNCERT là Kỹ sư Nguyễn Thanh Minh, Phụ trách Phòng Kỹ thuật hệ thống và Giám sát – Trung tâm VNCERT, với địa chỉ thư điện tử [email protected] và số điện thoại 0904240888.

Ngay trước đó, vào chiều tối qua, 23/4/2018, trong công văn 109/VNCERT-KTHT&GS, VNCERT đã cảnh báo 2 lỗ hổng an toàn thông tin nghiêm trọng của hệ quản trị nội dung Drupal.

Cùng với nhận định số lượng website sử dụng hệ quản trị nội dung Drupal tại Việt Nam khá nhiều nhưng hầu hết là các website có quy mô vừa và nhỏ, tại công văn 109, VNCERT đề nghị các cơ quan, đơn vị trong trường hợp website sử dụng Drupal thì cần chú ý tới 2 lỗ hổng an toàn thông tin được đánh giá mức độ nguy hiểm là nghiêm trọng và cao: Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution, mã lỗi quốc tế CVE-2018-7600 hoặc SA-CORE-2018-002); Lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting, mã lỗi quốc tế là SA-CORE-2018-003).

Cũng tại công văn 109, Trung tâm VNCERT cũng hướng dẫn cụ thể các biện pháp các cơ quan, doanh nghiệp nhà nước cần thực hiện để xử lý, khắc phục đối với từng lỗ hổng an toàn thông tin của hệ quản trị nội dung Drupal.