Đây là phân tích của ông Trần Quang Chiến, Giám đốc Công ty cổ phần VNIST (VNIST Corp), phụ trách website doc bao mạng Securitydaily.net.
1937cn từng tấn công nhiều website của Việt Nam
Như chúng tôi đã đưa tin, thông tin đăng tải trên website 1937cn.net cho hay, trong 2 ngày 30/5 và 31/5/2015, hơn 1.200 website của Việt Nam và Philippines bị tấn công. Trong đó có khoảng 1.000 website của Việt Nam, với 15 trang có tên miền ".gov.vn" và 50 trang tên miền ".edu.vn".
Theo tìm hiểu của website chuyên về doc bao mạng Securitydaily.net, 1937cn.net là trang web chính thức của nhóm hacker nổi tiếng và mạnh nhất Trung Quốc 1937cn. Đây là một trang mạng hacker được lập ra với mục đích kích động các hacker Trung Quốc tấn công các website của Việt Nam và khu vực Biển Đông.
1937cn từng tấn công nhiều website của Việt Nam
Như chúng tôi đã đưa tin, thông tin đăng tải trên website 1937cn.net cho hay, trong 2 ngày 30/5 và 31/5/2015, hơn 1.200 website của Việt Nam và Philippines bị tấn công. Trong đó có khoảng 1.000 website của Việt Nam, với 15 trang có tên miền ".gov.vn" và 50 trang tên miền ".edu.vn".
Theo tìm hiểu của website chuyên về doc bao mạng Securitydaily.net, 1937cn.net là trang web chính thức của nhóm hacker nổi tiếng và mạnh nhất Trung Quốc 1937cn. Đây là một trang mạng hacker được lập ra với mục đích kích động các hacker Trung Quốc tấn công các website của Việt Nam và khu vực Biển Đông.
1937cn.net là trang web chính thức của nhóm hacker đến từ Trung Quốc từng tấn công nhiều hệ thống, website quan trọng của Việt Nam.
Cũng theo nhận định của đại diện Securitydaily.net, vụ tấn công vào hơn 1.200 website của Việt Nam và Philippines diễn ra cuối tháng 5 vừa qua là hành động của nhóm hacker Trung Quốc 1937cn nhằm phản hồi lại chiến dịch tấn công các website của Trung Quốc có tên "OpChina" của một số hacker đến từ Việt Nam và Philipines.
Các nhóm hacker Việt Nam và Philipines đã tấn công defacement, chiếm quyền điều khiển, DDOS và đe dọa nhiều website của Trung Quốc. Còn nhóm hacker 1937cn đã trả đũa bằng cách tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1.000 website Việt Nam. Trong số đó có nhiều website .gov.vn (các website của cơ chính phủ Việt Nam) và các website .edu.vn (Các website của các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.
Đại diện Securitydaily.net cũng cho biết thêm, 1937cn là nhóm hacker từng tấn công nhiều hệ thống, website quan trọng của Việt Nam. Nhóm này cũng thường tổ chức các đợt tấn công qui mô lớn vào Việt Nam khi có các sự kiện lớn liên quan tới chính trị giữa Việt Nam và Trung Quốc.
Đơn cử như, trong tháng 8/2013, nhóm 1937cn đã tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com, thực hiện chuyển 2 tên miền thegioididong.com và facebook.com.vn tới trang website của hacker. Hồi đầu tháng 5/2014, thời điểm Trung Quốc hạ đặt trái phép giàn khoan HD-981 vào vùng lãnh hải của Việt Nam, nhóm hacker 1937cm đã tấn công hàng trăm website của Việt Nam. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của Việt Nam trong đợt nghỉ lễ Quốc khánh 2/9/2014.
"Trên website chính thức của nhóm hacker này (website: 1937cn.net ) cũng đưa nhiều thông tin liên quan đến các vấn đề chính trị, nhạy cảm giữa Việt Nam và Trung Quốc, vấn đề Biển Đông, các chiến tích đạt được trong việc tấn công các website của các nước khác trong đó có Việt Nam", ông Trần Quang Chiến cho biết.
Hacker khai thác lỗ hổng trong FCKeditor, WebDAV
Với vụ tấn công vào 1.200 website của Việt Nam và Philippines trong 2 ngày 30 - 31/5/2015 vừa qua, theo phân tích của ông Trần Quang Chiến, tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.
Với các lỗ hổng kể trên, tin tặc có thể đã sử dụng các công cụ tấn công tự động nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.
Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Chiến cho biết, FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.
Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.
Để khắc phụ lỗi này, ông Chiến khuyến nghị, các quản trị website nên tiến hành xóa các thư mục upload test trên website; Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload hoặc có thể cập nhật phiên bản mới của FCKeditor tại địa chỉ: http://ckeditor.com.
Ngoài ra, các quản trị viên website cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = "/"’.
Mã nguồn có lỗ hổng (Ảnh Securitydaily.net cung cấp)
Mã nguồn an toàn (Ảnh Securitydaily.net cung cấp)
Đối với lỗ hổng trong dịch vụ WebDAV, người phụ trách website doc bao mạng Securitydaily.net phân tích, WebDAV là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet. Người quản trị có thể thêm, xóa, chỉnh sửa… các file trực tiếp trên máy chủ web một cách dễ dàng. WebDAV chứa một số lỗi như: WebDAV Remote Code Execution cho phép ghi file, bypass authentication hay cả Buffer Overflow trong Win2000… Khai thác lỗi này kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file.. qua các phương thức PUT, DELETE.
Để đảm bảo doc bao cho website của mình, các quản trị viên cần vô hiệu hóa phương thức PUT của WebDAV. Trường hợp vẫn có nhu cầu tải file lên website thì cần sử dụng một plugin khác thay thế WebDAV hoặc sử dụng các giao thức như FTP, sFTP.
Cũng theo nhận định của đại diện Securitydaily.net, vụ tấn công vào hơn 1.200 website của Việt Nam và Philippines diễn ra cuối tháng 5 vừa qua là hành động của nhóm hacker Trung Quốc 1937cn nhằm phản hồi lại chiến dịch tấn công các website của Trung Quốc có tên "OpChina" của một số hacker đến từ Việt Nam và Philipines.
Các nhóm hacker Việt Nam và Philipines đã tấn công defacement, chiếm quyền điều khiển, DDOS và đe dọa nhiều website của Trung Quốc. Còn nhóm hacker 1937cn đã trả đũa bằng cách tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1.000 website Việt Nam. Trong số đó có nhiều website .gov.vn (các website của cơ chính phủ Việt Nam) và các website .edu.vn (Các website của các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.
Đại diện Securitydaily.net cũng cho biết thêm, 1937cn là nhóm hacker từng tấn công nhiều hệ thống, website quan trọng của Việt Nam. Nhóm này cũng thường tổ chức các đợt tấn công qui mô lớn vào Việt Nam khi có các sự kiện lớn liên quan tới chính trị giữa Việt Nam và Trung Quốc.
Đơn cử như, trong tháng 8/2013, nhóm 1937cn đã tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com, thực hiện chuyển 2 tên miền thegioididong.com và facebook.com.vn tới trang website của hacker. Hồi đầu tháng 5/2014, thời điểm Trung Quốc hạ đặt trái phép giàn khoan HD-981 vào vùng lãnh hải của Việt Nam, nhóm hacker 1937cm đã tấn công hàng trăm website của Việt Nam. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của Việt Nam trong đợt nghỉ lễ Quốc khánh 2/9/2014.
"Trên website chính thức của nhóm hacker này (website: 1937cn.net ) cũng đưa nhiều thông tin liên quan đến các vấn đề chính trị, nhạy cảm giữa Việt Nam và Trung Quốc, vấn đề Biển Đông, các chiến tích đạt được trong việc tấn công các website của các nước khác trong đó có Việt Nam", ông Trần Quang Chiến cho biết.
Hacker khai thác lỗ hổng trong FCKeditor, WebDAV
Với vụ tấn công vào 1.200 website của Việt Nam và Philippines trong 2 ngày 30 - 31/5/2015 vừa qua, theo phân tích của ông Trần Quang Chiến, tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.
Với các lỗ hổng kể trên, tin tặc có thể đã sử dụng các công cụ tấn công tự động nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.
Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Chiến cho biết, FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.
Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.
Để khắc phụ lỗi này, ông Chiến khuyến nghị, các quản trị website nên tiến hành xóa các thư mục upload test trên website; Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload hoặc có thể cập nhật phiên bản mới của FCKeditor tại địa chỉ: http://ckeditor.com.
Ngoài ra, các quản trị viên website cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = "/"’.
Mã nguồn có lỗ hổng (Ảnh Securitydaily.net cung cấp)
Mã nguồn an toàn (Ảnh Securitydaily.net cung cấp)
Đối với lỗ hổng trong dịch vụ WebDAV, người phụ trách website doc bao mạng Securitydaily.net phân tích, WebDAV là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet. Người quản trị có thể thêm, xóa, chỉnh sửa… các file trực tiếp trên máy chủ web một cách dễ dàng. WebDAV chứa một số lỗi như: WebDAV Remote Code Execution cho phép ghi file, bypass authentication hay cả Buffer Overflow trong Win2000… Khai thác lỗi này kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file.. qua các phương thức PUT, DELETE.
Để đảm bảo doc bao cho website của mình, các quản trị viên cần vô hiệu hóa phương thức PUT của WebDAV. Trường hợp vẫn có nhu cầu tải file lên website thì cần sử dụng một plugin khác thay thế WebDAV hoặc sử dụng các giao thức như FTP, sFTP.
Post a Comment