Lỗ hổng Drupalgeddon2 khiến hàng trăm website Việt có nguy cơ bị hack

Công ty An ninh mạng CyStack vừa phát hiện ra lỗ hổng nghiêm trọng với tên gọi Drupalgeddon2 trong các phiên bản mã nguồn mở Drupal từ 6 đến 8, cho phép hacker có thể chiếm toàn quyền kiểm soát website.
Cụ thể, trong một thông báo phát đi chiều qua (21/4), Công ty An ninh mạng CyStack cho hay, nền tảng mã nguồn mở Drupal - một nền tảng được sử dụng rộng rãi trên thế giới và trên nhiều website tại Việt Nam hiện nay, đang tồn tại lỗ hổng bảo mật Drupalgeddon2 (mã CVE-2018-7600), cho phép hacker có thể chiếm quyền điều khiển máy chủ.
 
Cũng theo thông báo này, lỗ hổng Drupalgeddon2 được đánh giá là lỗ hổng nghiêm trọng, được hãng này phát hiện trong các phiên bản từ 6 đến 8 của Drupal, cho phép hacker có thể tấn công từ xa và chiếm quyền kiểm soát hoàn toàn website đó. 
Lỗ hổng Drupalgeddon2 được đánh giá là lỗ hổng nghiêm trọng, cho phép hacker có thể tấn công từ xa và chiếm quyền kiểm soát hoàn toàn website đó. Ảnh chỉ để minh họa.
Trong quá trình kiểm tra khoảng 1.000 website đang sử dụng phần mềm mã nguồn mở Drupal tại Việt Nam, các chuyên gia của CyStack đã phát hiện ra được quét có đến hơn 500 website vẫn đang sử dụng phiên bản Drupal có lỗ hổng, đồng nghĩa với việc các trang Web này đang phải đối mặt với khả năng bị hacker chiếm quyền và khai thác. 
 
Nghiêm trọng hơn là trong số gần 500 trang Web có nguy cơ bị hack này, có nhiều website quan trọng của các ngân hàng, tập đoàn công nghệ, các trường đại học, kể cả các website thuộc chính phủ,… 
 
“Đây chưa phải con số cuối cùng bởi số lượng website Drupal tại Việt Nam khá lớn và Drupalgeddon2 là lỗ hổng cực kỳ nghiêm trọng, cho phép chiếm quyền điều điều khiển website, với cách thức khai thác rất đơn giản,” đại diện CyStack nhận định.
 
Đại diện của CyStack cũng cho biết, tính năng năng phát hiện lỗ hổng Drupalgeddon2 cho website đã được tích hợp trong nền tảng bảo mật CyStack Platform. Trên cơ sở đó, các quản trị viên của các trang Web có thể đăng ký và sử dụng nền tảng này miễn phí tại địa chỉ "https://app.cystack.net/" để quét lỗ hổng, cũng như tìm diệt các mã độc trên website của mình. 
 
Và để khắc phục triệt để, các quản trị cần nâng cấp lên phiên bản Drupal mới, hoặc sử dụng bản vá cho chính phiên bản cũ của Drupal, chuyên gia của CyStack khuyến cáo.