Sunday , 18 November 2018
Home » Bảo Mật » Lỗ hổng trong FCKEditor

Lỗ hổng trong FCKEditor

Lỗ hổng trong FCKEditor

Như nhiều báo chí đã đưa tin, nhằm phản hồi lại chiến dịch tấn công các website của Trung Quốc có tên “OpChina” của một số  hacker đến từ Việt Nam và Philipines. Các nhóm hacker Việt nam và Philipines đã tấn công defacement, chiếm quyền điều khiển, DDOS và đe dọa nhiều website của Trung Quốc, chính phủ Trung Quốc. Nhóm hacker 1937cn đã trả đũa bằng cách tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1000 website Việt Nam. Trong số đó có nhiều website .gov.vn (các website của cơ chính phủ Việt Nam) và các website .edu.vn (Các website của các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.

Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách, sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ Webdav. Đây là những lỗ hổng mà chính nhóm hacker đã từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.

Với các lỗ hổng này có thể tin tặc đã sử dụng các công cụ tấn công tự động, nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.

FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.

Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thưc mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.

Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau

  1. Xóa các thưc mục upload test trên website.
  2. Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
  3. Hoặc có thể cập nhật phiên bản mới của FCKEditor tại đây: http://ckeditor.com/
  4. Bạn cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = “/”’.

trinh soan thao FCKEditor

Mã nguồn có lỗ hổng

FCKEditor2

Lượt xem (578)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

Công cụ bảo mật chuyên nghiệp Burp suite (Phần 2)

Burp suite là một ứng dụng java dùng để kiểm thử xâm nhập ứng dụng …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *