(TNO) SecurityDaily.NET - nhóm phản ứng nhanh thuộc quản lý của Công ty cổ Phần VNIST, sáng nay 2.6, đã công bố bản phân tích vụ việc 1.000 website của Việt Nam bị Trung Quốc tấn công vào hai ngày 30 và 31.5 vừa qua.
 Hacker Trung Quốc ồ ạt tấn công mạng Việt Nam - Ảnh: VNIST |
SecurityDaily.NET cho biết, kẻ giấu mặt trong các cuộc tấn công lần này chính là hacker 1937cn. Đây là nhóm đã từng tấn công nhiều hệ thống, website quan trọng, website chính phủ, các tổ chức lớn tại Việt Nam. Nhóm này cũng thường tổ chức các đợt tấn công quy mô lớn khi có các sự kiện lớn liên quan tới chính trị giữa Việt Nam và Trung Quốc.
Cụ thể, trong 2 ngày 30 - 31.5, thời điểm diễn ra Hội nghị Thượng đỉnh An ninh châu Á (Shangri La), nhóm hacker 1937cn đã tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1.000 website Việt Nam. Trong số đó, có nhiều website mang đuôi .gov.vn (các website của cơ quan chính phủ Việt Nam) và các website .edu.vn (các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.
Khai thác lỗ hổng, chiếm quyền điều khiển website
Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách, sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker đã từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014. Với các lỗ hổng này, có thể tin tặc đã sử dụng các công cụ tấn công tự động, nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.
Theo SecurityDaily.NET, lỗ hổng trong FCKEditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.
Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor, chưa cấu hình phân quyền thư mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.
Lỗ hổng WebDAV là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet. Người quản trị có thể thêm, xóa, chỉnh sửa… các file trực tiếp trên máy chủ web một cách dễ dàng.
Khai thác lỗi này kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file.. qua các phương thức PUT, DELETE.
Để đảm bảo an ninh cho website của mình, SecurityDaily.NET khuyến cáo các quản trị viên cần vô hiệu hóa phương thức PUT của WebDAV, hoặc cập nhật phiên bản mới nhất của Fckeditor. Nếu vẫn có nhu cầu tải file lên website thì cần sử dụng một plugin khác thay thế WebDAV hoặc sử dụng các giao thức như FTP, sFTP.
Bình luận