vBulletin 5.x gặp nguy với lỗi bảo mật SQL Injection - Ảnh: Internet |
Khám phá bởi nhóm phân tích bảo mật người Romania (Romanian Security Team - RST) khi đang thử nghiệm mức độ an ninh trên chính diễn đàn của mình đang dùng vBulletin 5.1.2. Theo đó, nhóm khám phá một lỗi dạng SQL Injection, có thể chèn các mã truy vấn (câu lệnh SQL) để đọc và trích xuất trái phép chi tiết thông tin tất cả các quản trị viên (admin).
Theo cách trên, tin tặc có thể chiếm quyền truy xuất vào bên trong khu quản trị (Admin Panel), và từ đó lấy cắp cơ sở dữ liệu chứa đựng thông tin nhạy cảm dễ dàng, như tên tài khoản, địa chỉ email, mật khẩu thành viên. Và thậm chí có thể thực thi các câu lệnh PHP gây hại nếu quyền "ghi đè" được kích hoạt.
Tấn công các hệ thống website qua phương thức SQL Injection không mới và rất phổ biến. Đối với những mục tiêu như lỗi bảo mật của vBulletin sẽ rất đáng giá với tội phạm mạng. vBulletin là phần mềm diễn đàn thương mại, được sử dụng bởi hàng chục ngàn website (theo W3Techs).
Ảnh trích từ đoạn clip được thành viên nhóm RST đưa lên YouTube, trình diễn thâm nhập trái phép qua phương thức SQL Injection vào hệ thống vBulletin 5.x thông qua lỗi |
Nhóm Romanian Security Team cho biết không bán lỗi này ở thị trường chợ đen mà cung cấp thông tin cho vBulletin và sẽ công bố sau khi đơn vị này phát hành bản cập nhật khắc phục lỗi. Trong tháng 4, nhóm này cũng đã phát hiện một lỗi XSS cho phép kẻ tấn công chèn mã gây hại vào diễn đàn vBulletin.
vBulletin đã nhanh chóng phát hành bản cập nhật vào ngày 16-7. Cụ thể, bản cập nhật khắc phục lỗi nguy hiểm trong các phiên bản vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1 và 5.1.2. Người dùng truy cập tại đây để tải bản cập nhật. vBulletin khuyến cáo người dùng chỉ cài đặt phiên bản vBulletin 5.1.3 Alpha cho mục đích thử nghiệm, tránh cài trên các hệ thống máy chủ đang hoạt động.
Drupal cũng gặp nguy
Tương tự vBulletin, Drupal là hệ thống quản trị nội dung (CMS) mã nguồn mở được sử dụng rất phổ biến bên cạnh Joomla.
Drupal, hệ thống CMS nguồn mở được rất nhiều website sử dụng - Ảnh: Internet |
Hôm 16-7, nhóm bảo mật Drupal Security Team cho biết các hệ thống website đang sử dụng phiên bản trước Drupal 7.29 và 6.32 có thể bị tin tặc lợi dụng tấn công từ chối dịch vụ (DDoS) và triển khai tấn công dạng CSS, chiếm quyền thâm nhập vào các tập tin riêng tư.
Tất cả các lỗi này đều có thể bị khai thác từ xa, do đó người dùng được khuyến cáo nâng cấp ngay lên phiên bản Drupal 7.29 hay Drupal 6.32 để ngăn chặn nguy cơ bảo mật từ bên trong mã nguồn Drupal 7 và 6.
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận