Hàng triệu website trên thế giới đang đua với thời gian trong cuộc chạy đua sống còn với tin tặc. Drupal - hệ quản trị nội dung phổ biến thứ ba thế giới - vừa phát đi cảnh báo đỏ về lỗ hổng bảo mật nghiêm trọng có thể bị khai thác chỉ trong vài giờ sau khi bản vá được công bố. Đây không phải lời đe dọa suông, mà là cảnh báo thực tế dựa trên kinh nghiệm xương máu từ những vụ tấn công trước đó. Chúng tôi cho rằng đây có thể là một trong những cập nhật bảo mật quan trọng nhất của Drupal trong năm 2024.

Cuộc đua sinh tử giữa quản trị viên và hacker

Drupal đã chính thức công bố "core security release" - bản phát hành bảo mật lõi - với lời cảnh báo không thể rõ ràng hơn: các threat actor (đối tượng đe dọa) có thể phát triển exploit (mã khai thác) chỉ trong vài giờ sau khi bản cập nhật được tiết lộ. Điều này có nghĩa cửa sổ thời gian để các quản trị viên website bảo vệ hệ thống của mình cực kỳ hẹp. Theo kinh nghiệm của chúng tôi, những cảnh báo kiểu này từ Drupal thường không phải để "làm màu".

Tình huống này gợi nhớ đến vụ việc Drupalgeddon năm 2014, khi một lỗ hổng SQL injection trong Drupal đã bị khai thác diện rộng chỉ sau 7 giờ kể từ khi bản vá được phát hành. Khi đó, hàng nghìn website đã bị compromise (xâm nhập) trước khi quản trị viên kịp phản ứng. Drupal Security Team thậm chí phải tuyên bố rằng bất kỳ website Drupal nào không được cập nhật trong vòng 7 giờ đầu đều phải coi như đã bị xâm phạm.

Lỗ hổng core system - mối đe dọa từ trái tim hệ thống

Việc Drupal gọi đây là "core security release" cho thấy lỗ hổng nằm ngay tại trái tim của hệ thống, không phải ở các module bổ sung. Core vulnerabilities (lỗ hổng lõi) luôn nguy hiểm hơn vì chúng ảnh hưởng đến mọi website Drupal, bất kể cấu hình hay module nào được sử dụng. Điều này có nghĩa phạm vi tấn công tiềm tàng là toàn bộ hệ sinh thái Drupal toàn cầu.

Mặc dù chi tiết kỹ thuật chưa được công bố để tránh zero-day exploitation (khai thác lỗ hổng chưa có bản vá), việc Drupal cảnh báo về khả năng phát triển exploit trong vài giờ cho thấy đây có thể là lỗ hổng dạng RCE (Remote Code Execution) - cho phép hacker thực thi mã từ xa. Chúng tôi đánh giá đây có thể là lỗ hổng nghiêm trọng nhất của Drupal trong năm qua dựa trên mức độ cảnh báo chưa từng có.

Tác động toàn cầu và con số đáng báo động

Với hơn 1,3 triệu website đang sử dụng Drupal trên toàn thế giới, trong đó có nhiều tổ chức chính phủ, trường đại học và doanh nghiệp lớn, tác động của lỗ hổng này có thể là thảm khốc. Theo thống kê của W3Techs, Drupal chiếm 1,9% thị phần CMS toàn cầu, tương đương khoảng 500.000 website đang hoạt động. Con số này có thể không lớn so với WordPress, nhưng Drupal thường được sử dụng bởi các tổ chức quan trọng với dữ liệu nhạy cảm.

Tại Việt Nam, mặc dù WordPress và các CMS khác phổ biến hơn, Drupal vẫn được nhiều cơ quan nhà nước, trường đại học và doanh nghiệp lớn tin dùng. Theo quan sát của chúng tôi, ít nhất hàng trăm website Việt Nam có thể bị ảnh hưởng, bao gồm cả một số trang web của các bộ, ngành và trường đại học danh tiếng.

Hành động khẩn cấp cho quản trị viên Việt Nam

Chúng tôi khuyến cáo mạnh mẽ các quản trị viên website Drupal tại Việt Nam thực hiện ngay các bước sau. Trước tiên, kiểm tra phiên bản Drupal hiện tại thông qua admin dashboard hoặc file CHANGELOG.txt trong thư mục gốc. Tiếp theo, thực hiện backup toàn bộ database và file ngay lập tức trước khi cập nhật. Cuối cùng, cập nhật lên phiên bản mới nhất ngay khi bản vá được phát hành, ưu tiên trong 2-3 giờ đầu.

Đặc biệt, các tổ chức quan trọng nên cân nhắc tạm thời đưa website vào chế độ maintenance trong quá trình cập nhật để tránh rủi ro. Sau khi cập nhật, cần kiểm tra log files để phát hiện dấu hiệu bất thường và thay đổi tất cả mật khẩu quan trọng. Theo kinh nghiệm của chúng tôi, việc phản ứng chậm chỉ vài giờ có thể dẫn đến hậu quả không thể khắc phục được.