Công ty Bkav vừa cho biết, tính đến 9h15 ngày 4/6/2015, số trang web Việt Nam bị nhóm hacker đến từ Trung Quốc có tên 1937cn tấn công đã tăng thêm gần 150 trang.
Như vậy, tính từ ngày 30/5 đến thời điểm 9h15 sáng nay, ngày 4/6/2015, tổng số website của Việt Nam bị nhóm hacker 1937cn tấn công đã lên tới 1.150 trang, trong đó số website tên miền “.gov.vn” và “.edu.vn” có tên trong danh sách các trang web bị tin tặc tấn công lần lượt là 28 và 140 trang.
Trao đổi với ICTnews, đại diện Công ty an ninh mạng Bkav cho biết, hiện tại, cùng với việc tiến hành xác minh lỗ hổng bảo mật đã bị nhóm hacker 1937cn khai thác để tấn công vào các website trong đợt này, Bkav cũng đang tiến hành gửi thông báo và hướng dẫn khắc phục lỗ hổng tới các đơn bị chủ quản, quản trị website bị ảnh hưởng trong vụ việc.
Trước đó, ngày 1/6/2015, Bkav đã có thông báo về đợt tấn công của nhóm hacker đến từ Trung Quốc mang tên 1937cn diễn ra trong 2 ngày 30/5 và 31/5/2015. Theo đó, trong đợt tấn công này, đã có hơn 1.200 website của Việt Nam và Philippines bị tấn công. Trong đó có khoảng 1.000 website của Việt Nam, với 15 trang “.gov.vn” và 50 trang “.edu.vn”.
Giao diện của một website bị nhóm 1937cn tấn công cuối tháng 5/2015 với thông điệp liên quan đến xung đột trên Biển Đông giữa Trung Quốc và các nước ASEAN như Việt Nam, Philippines... (Nguổn ảnh: Whitehat.vn)
Trong đợt tấn công vào các website Việt Nam và Philippines diễn ra trong 2 ngày cuối tháng 5/2015, theo nhận định của các chuyên gia an ninh mạng, nhóm hacker 1937cn đã tấn công vào các website qua khai thác lỗ hổng trên phương thức PUT của WebDAV và FCKeditor, phần mềm cho phép upload file lên máy chủ web. Hình thức tấn công này tương tự với các đợt tấn công hàng trăm trang web của Việt Nam trong năm 2014.
Theo khuyến nghị của các chuyên gia Bkav, để đảm bảo an ninh cho website của mình, các quản trị viên cần vô hiệu hóa phương thức PUT của WebDAV, hoặc cập nhật phiên bản mới nhất của FCKeditor. Nếu vẫn có nhu cầu tải file lên website thì cần sử dụng một plugin khác thay thế WebDAV.
Đặc biệt, với các đợt tấn công của nhóm hacker 1937cn vào các website Việt Nam vừa qua, các chuyên gia an ninh mạng đặc biệt khuyến cáo các quản trị viên về lỗ hổng trong phần mềm FCKeditor.
Chuyên gia của một cơ quan an ninh mạng của Việt Nam nhấn mạnh, trong cuộc tấn công vừa qua, tin tặc vẫn tiếp tục khai thác các điểm yếu của bộ soạn thảo văn bản FCKeditor được dùng phổ biến trong các trang tin điện tử để phục vụ việc cập nhật và biên tập các bài viết. Lỗ hổng của FCKeditor đã được công bố từ lâu qua các mã lỗi bảo mật (CVE-2005-0613, CVE-2006-0658 hay mới nhất là CVE-2009-2324).
Hiện tại đa số các trang tin bị tấn công thường sử dụng phiên bản FCKeditor v2.6.4 hoặc thấp hơn. Qua kiểm tra nhanh, có trang tin điện tử của cơ quan nhà nước bị tấn công vẫn đang sử dụng bộ soạn thảo văn bản FCKEditor phiên bản 2.4.2, đây là phiên bản từ năm 2007.
Vì việc cập nhật lên bản CKeditor là không dễ dàng, nhiều quản trị cổng/trang thông tin điện tử thường đối phó bằng cách xóa đi các nội dung bị tấn công, việc này không giải quyết triệt để sự cố dẫn đến tình trạng các trang các trang này tiếp tục bị khai thác nhiều lần với các nhóm tin tặc khác nhau.
Cơ quan an ninh mạng này cũng cho hay, hiện tại tất cả các phiên bản của FCKeditor đều có lỗi bảo mật và hoàn toàn có thể bị khai thác. Do đó, giải pháp để khắc phục triệt để vấn đề này là phải cập nhật lên bộ soạn thảo văn bản thay thế là CKeditor phiên bản mới nhất, để tránh các sự cố trong quá trình nâng cấp, cần phải sau lưu lại dữ liệu và mã nguồn trước khi thực hiện nâng cấp.
Thêm vào đó, khi tiến hành vá lỗi phải tiến hành kiểm tra toàn bộ hệ thống xem có bị cài cửa hậu (backdoor) hay không, vì thông thường khi khai thác thành công một máy chủ, tin tặc thường hay đưa một số cửa hậu vào trong hệ thống để thuận lợi hơn cho việc kiểm soát các máy chủ sau này.
Nguồn: ICTNews
Bình luận