Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam (VNCERT) vừa phát hiện lỗ hổng bảo mật rất nguy hiểm mã số quốc tế CVE-2012-1823, ảnh hưởng tới các máy chủ web, ví dụ như Apache, Lighthttpd, Nginx... cài đặt module PHP-CGI để thực thi các trang web được xây dựng bằng ngôn ngữ PHP qua CGI.

Lỗi bảo mật này cho phép tin tặc có thể đánh cắp hoàn toàn mã nguồn, thông tin cấu hình hoặc nguy hiểm hơn có thể cài mã độc, cướp quyền điều khiển các hệ thống máy chủ cài đặt ứng dụng web, cổng/trang thông tin điện tử làm bàn đạp để kiểm soát trái phép hệ thống thông tin nội bộ của các cơ quan, tổ chức.

Kiểm tra khả năng mắc lỗi bảo mật nêu trên, VNCERT hướng dẫn thực hiện như sau: Mở trình duyệt web gõ địa chỉ URL như sau: http://tenmien/tentrang.php?-s (ví dụ http://www.vncert.net.vn/index.php?-s ), trong đó cần điền thông tin về các tham số: -tenmien - tên miền của tổ chức, tentrang - tên một trang php bất kỳ có trên thư mục public của webserver. Thông thường có thể sử dụng index.php, các từ khóa khác trên địa chỉ giữ nguyên.

Nếu trình duyệt web hiện ra toàn bộ mã nguồn của trang php có địa chỉ như đã nêu, thì máy chủ đã bị lỗi bảo mật trên. Nếu trình duyệt web hiện lên trang web như bình thường thì máy chủ không bị lỗi bảo mật trên.

Hiện nay, lỗi bảo mật trên đã được công bố trên diện hẹp tại một số trang thông tin chuyên ngành quốc tế, nên khả năng tin tặc đã biết và có thể lợi dụng để tấn công trái phép vào các hệ thống mắc lỗi bất cứ lúc nào. Do đó, VNCERT hướng dẫn một số phương án khắc phục như sau:

- Dừng sử dụng phương thức CGI trên máy chủ web server.

- Thay thế module PHP-CGI bằng module Fastcgi.

- Cập nhật phiên bản mới nhất cho các package của php trong web server, trong đó chú ý 2 package php-common và php-cli từ Repository của hệ điều hành cài đặt trên máy chủ web hoặc từ tổ chức PHP tùy vào tình hình thực tế. Tuy nhiên, VNCERT cho rằng cần chú ý đến ngày 08/5/2012 các bản vá chỉ hạn chế được một phần nào, vẫn chưa có bản vá khắc phục hoàn toàn lỗi trên cho php-cgi.

Thanks (Khánh Trung)