Nhiều hệ thống mạng tại Việt Nam có thể bị ảnh hưởng nghiêm trọng bởi lỗi của Webmin

Trung tâm An ninh mạng (BKIS) cho biết một lỗ hổng nghiêm trọng mới phát hiện trong phần mềm Webmin có thể giúp tin tặc đột nhập dễ dàng vào hệ thống mạng sử dụng phần mềm này.

Đây là phần mềm cung cấp giao diện web để quản trị hệ thống trên hệ điều hành Unix, Linux.

Webmin thường được các nhà cung cấp dịch vụ hosting sử dụng để quản lý tài khoản và thư mục của người dùng. Với lỗ hổng này, tin tặc có thể truy cập bất kỳ thư mục nào và đọc được các tệp tin trên máy chủ có sử dụng phần mềm Webmin.

Tại Việt Nam, BKIS đã kiểm tra và nhận thấy, một số nhà cung cấp dịch vụ hosting lớn, trong đó có một ISP, đang sử dụng Webmin cho việc quản trị người dùng thuê host. Vì vậy, khả năng thông tin của khách hàng của những nhà cung cấp dịch vụ này như username/password, các tệp tin trong thư mục chứa web, đều đã có thể bị tin tặc thu thập được.

Có ít nhất gần 400 khách hàng của các nhà cung cấp dịch vụ này có thể bị lộ thông tin, trong đó có các ngân hàng, các doanh nghiệp, các tổ chức... Đây là điều hết sức nguy hiểm, vì với những thông tin thu được tin tặc hoàn toàn có thể kiểm soát được website của tất cả những khách hàng này.

Hiện nay, ngoài Webmin, phần mềm Usermin cũng bị lỗi tương tự. Hai phần mềm này đều của cùng một nhóm tác giả, vì vậy chúng có chung nguyên lý, và cách thức khai thác lỗ hổng là như nhau. Đây là hai phần mềm phổ biến và được các quản trị mạng trên Unix, và Linux tin dùng.

Trung tâm An ninh mạng BKIS đã ra khuyến cáo tất cả các quản trị mạng trên toàn quốc hãy kiểm tra xem hệ thống của bạn có sử dụng phần mềm Webmin hay Usermin không, nếu có bạn phải lập tức vá lỗi cho những phần mềm này.

Để khắc phục sự cố trên, việc đầu tiên là các quản trị phải nâng cấp phần mềm bị lỗi lên phiên bản mới nhất là Webmin 1.290 và Usermin 1.220 từ trang web www.webmin.com. Tiếp theo, các nhà cung câp dịch vụ hosting cần phải thông báo và hướng dẫn cho khách hàng thuê host của mình để phải thay đổi ngay mật khẩu quản lý host và mật khẩu kết nối tới cơ sở dữ liệu (nếu có). Cuối cùng là rà soát lại hệ thống (đối với cả nhà cung cấp dịch vụ và các khách hàng thuê host của họ) bởi vì rất có thể trong vài ngày qua tin tặc đã kịp xâm nhập để sửa đổi thông tin hay cài đặt Backdoor (một dạng phần mềm gián điệp) để kiểm soát hệ thống.

Nguyên nhân của lỗ hổng trên là do phần mềm không kiểm soát chặt chẽ việc sử dụng kí tự “/”. Bằng việc sử dụng chuỗi liên tiếp các kí tự “..%01/”, tin tặc có thể đọc được nội dung bất kì file nào trong hệ thống, thông qua đó lấy được các thông tin nhạy cảm như username, password của các tài khoản truy cập (thông qua file /etc/passwd, /etc/shadow) hoặc lấy được các thông tin tài khoản truy xuất cơ sở dữ liệu trên máy (thông qua các file config chứa thông tin của cơ sở dữ liệu).

L.Quang