Cảnh báo khẩn cấp: Người dùng Drupal cần dành thời gian vá lỗi nghiêm trọng ngay lập tức

Nếu bạn đang sử dụng Drupal, hãy sẵn sàng để thực hiện việc vá lỗi mà không cần chần chừ. Tổ chức đứng sau hệ thống quản lý nội dung mã nguồn mở phổ biến này vừa đưa ra cảnh báo về một lỗ hổng bảo mật cực kỳ nghiêm trọng trong Drupal Core. Tính chất nguy hiểm của lỗi này đến mức đội ngũ phát triển phải khuyến cáo người dùng dành riêng thời gian để cài đặt bản sửa lỗi ngay khi nó được phát hành vào thứ Tư tuần này.

Thông báo công khai (PSA) vào thứ Hai của Đội ngũ Bảo mật Drupal về bản vá sắp tới cho Drupal Core không cung cấp nhiều chi tiết cụ thể. Theo thông báo, Drupal chưa sẵn sàng chia sẻ thêm thông tin cho đến khi công bố chính thức đi kèm với bản vá lỗi. Sự kiện này dự kiến diễn ra vào sometime giữa 17:00 và 21:00 UTC vào thứ Tư, ngày 20 tháng 5.

Cần nhấn mạnh rằng, lỗ hổng này nằm ở Drupal Core — phiên bản cơ bản dành cho các nhà phát triển, chứ không phải Drupal CMS — phiên bản được cấu hình sẵn cho những người muốn sử dụng Drupal nhưng không có kỹ năng lập trình.

Drupal lưu ý rằng các trang web sử dụng dịch vụ tường lửa ứng dụng web (WAF) trả phí Drupal Steward được bảo vệ trước các vector tấn công đã biết. Tuy nhiên, họ vẫn khuyến cáo khách hàng sử dụng Steward nên cập nhật các phiên bản Core của mình để phòng trường hợp các phương thức khai thác mới xuất hiện.

"Đội ngũ Bảo mật Drupal khuyên bạn nên dành thời gian cập nhật core vào thời điểm đó vì các phương thức khai thác có thể được phát triển trong vài giờ hoặc vài ngày," thông báo cảnh báo.

Drupal cũng khuyến nghị người dùng cập nhật lên phiên bản được hỗ trợ mới nhất trước thứ Tư "để bạn có thể giải quyết mọi vấn đề nâng cấp khác trước khi cửa sổ bảo mật mở ra."

Mặc dù không tiết lộ cụ thể bản chất của lỗ hổng, Drupal đã chia sẻ điểm mức độ nghiêm trọng dựa trên phương pháp chấm điểm tiêu chuẩn của NIST, và con số này rất đáng báo động: Lỗi này đạt 20 trên tổng số tối đa 25 điểm theo thang đo của tài liệu Drupal.

Cụ thể hơn, việc khai thác lỗi này cực kỳ dễ dàng, không yêu cầu bất kỳ quyền đặc biệt nào, có thể khiến tất cả dữ liệu không công khai trên trang web bị lộ cho kẻ tấn công, và cho phép kẻ tấn công sửa đổi hoặc xóa bất cứ thứ gì chúng muốn. Hai điều duy nhất ngăn nó đạt điểm tuyệt đối 25/25 là việc chưa có phương thức khai thác nào được biết đến và nó không ảnh hưởng đến tất cả các cấu hình, chỉ những cấu hình sử dụng "cấu hình module không phổ biến".

Drupal lưu ý rằng các bản vá bảo mật sẽ được phát hành vào thứ Tư cho tất cả các nhánh core hiện được hỗ trợ (11.3.x, 11.2.x, 10.6.x và 10.5.x), cũng như các nhánh Drupal 11.1.x và 10.4.x không được hỗ trợ cho các trang web chưa nâng cấp từ các bản phát hành 10.x và 11.x cũ hơn.

Người dùng Drupal trên phiên bản 8.9 và 9.5 cũng sẽ nhận được bản vá "do mức độ nghiêm trọng tiềm ẩn của vấn đề này", mặc dù thông báo cảnh báo rằng người dùng 8.9 và 9.5 sẽ cần cài đặt các bản cập nhật này thủ công, việc này "có thể gây ra các lỗi hoặc sự cố khác", khiến Drupal khuyến nghị nên nâng cấp hoàn toàn lên một nhánh core được hỗ trợ.

"Drupal 8 và 9 bao gồm nhiều lỗ hổng bảo mật khác đã được tiết lộ trước đó sẽ không được giải quyết bởi Drupal Steward hay các tệp vá lỗi nỗ lực tối đa," thông báo cho biết. Người dùng Drupal 7 được cho là an toàn.

Do thực tế là không phải tất cả môi trường Drupal Core đều bị ảnh hưởng, thông báo khuyến cáo tất cả người dùng Drupal Core nên dành thời gian vào thứ Tư để xác định xem mình có thuộc nhóm dễ bị tấn công hay không và hành động ngay lập tức nếu có.