Các chuyên gia bảo mật vừa đưa ra cảnh báo về phiên bản phpMyAdmin phân phối qua SourceForge bị nhúng mã độc, mở “cửa hậu” khiến rất nhiều website dùng ứng dụng quản lý cơ sở dữ liệu này lâm nguy.
>> Tội phạm trong thế giới ảo
>> Có thể hủy diệt cả thế giới bằng 100 triệu USD?
>> Cảnh báo email mạo danh Microsoft đánh cắp mật khẩu người dùng
>> Trung Quốc bán máy tính cài sẵn malware
>> Xuất hiện nhóm tội phạm mạng ‘chưa từng thấy’ trong lĩnh vực quốc phòng
Phân tích mã nguồn trong tập tin server_sync.php cho thấy có mã độc hại mở "cửa hậu" cho phép hacker thực thi mã tùy ý trên máy chủ cơ sở dữ liệu - Ảnh: WooYun
Mã “cửa hậu” (backdoor) được nhúng vào có thể cho phép những kẻ tấn công từ xa chiếm quyền điều khiển máy chủ vận hành sử dụng phpMyAdmin.
Đoạn mã PHP độc hại được tìm thấy trong tập tin server_sync.php, cho phép thực thi các câu lệnh dạng mã PHP nhúng trực tiếp. Bất kỳ ai biết “cửa hậu” này đều có thể thực thi các đoạn mã xấu có chủ đích theo ý mình. Trên website chính thức của nhóm phát triển phpMyAdmin còn cho biết tập tin js/cross_framing_protection.js cũng bị hiệu chỉnh, bổ sung mã xấu.
HD Moore, giám đốc bảo mật (CSO) của Rapid7 và cũng là kỹ sư trưởng công cụ khai thác lỗi bảo mật Metasploit, đã trình bày lỗi này với giới bảo mật và hacker. Ông cũng cho biết đã đưa môđun khai thác lỗi này vào Metasploit. Đây thật sự là điều rất đáng lo vì Metasploit là công cụ thương mại, bất kỳ ai cũng có thể mua và tự tổ chức cuộc tấn công nhắm vào lỗi mà không cần am hiểu nhiều về kỹ thuật.
Điều đáng lo ngại thứ hai đến từ SourceForge, được xem là nguồn lưu trữ chính thống đáng tin cậy cho các dự án nguồn mở. SourceForge chứa hơn 324.000 dự án mã nguồn mở, mỗi ngày tiếp nhận hơn 4 triệu lượt tải, hơn 46 triệu người dùng. Các quản trị viên (admin) website thường xuyên cập nhật những phiên bản mới từ SourceForge. Do đó, khi phpMyAdmin có nhúng mã độc được phát hành từ một trong những kênh phân phối của SourceForge, mức độ lan tỏa và quy mô ảnh hưởng sẽ rất lớn.
Theo thông tin xác nhận từ phía SourceForge, tập tin phpMyAdmin 3.5.2.2-all-languages.zip có chứa đoạn mã độc này, phát hành qua kênh cdnetworks. Nhóm quản trị hiện đang tiến hành điều tra. Phía CDNetworks từ Hàn Quốc cũng xác nhận về sự cố bảo mật này, dự đoán thời điểm máy chủ bị xâm nhập vào ngày 22-9. Máy chủ phân phối tập tin bị nhiễm độc đã được ngưng vận hành và kiểm tra.
Theo HD Moore, nếu máy chủ phân phối dữ liệu đó bị xâm nhập, không chỉ có phpMyAdmin bị nhúng mã độc mở “cửa hậu” mà còn hơn 12.000 dự án nguồn mở khác cũng cần được chú ý.
Đây không phải lần đầu tiên một dự án nguồn mở được dùng phổ biến bị sự cố bảo mật làm ảnh hưởng rất nhiều người dùng. Trong tháng 6, nền tảng blog nguồn mở WordPress đã phải yêu cầu tất cả chủ tài khoản tại WordPress.org thay đổi mật khẩu sau khi khám phá các hacker đã chiếm giữ được mật khẩu người dùng với phần mềm mã độc. Cũng cần kể đến sự cố đối với ngôn ngữ lập trình PHP ba tháng trước đó, một trong các máy chủ của nhóm phát triển bị hack và mã nguồn PHP bị nhúng mã độc.
Trước đó vào tháng ba, GitHub, kho lưu trữ dự án phần mềm nguồn mở tương tự SourceForge, bị hack đã khiến hàng triệu dự án nguồn mở như jQuerry, Ruby on Rail, Reddit, Linux… bị ảnh hưởng (xem tại đây).
Note: phpMyAdmin là công cụ trên nền web miễn phí sử dụng, dùng để quản lý cơ sở dữ liệu MySQL. Hầu hết website được xây dựng trên ngôn ngữ nguồn mở PHP đều gắn kết với cơ sở dữ liệu MySQL, và phpMyAdmin cũng luôn song hành. Quản trị viên thường thông qua giao diện nền web của phpMyAdmin để quản trị CSDL thay vì vận hành qua câu lệnh trực tiếp từ máy chủ (server). Số lượng website mã mở dùng phpMyAdmin lên đến hàng triệu.
Theo Tuổi Trẻ Online
Link to full article
Không có nhận xét nào:
Đăng nhận xét