Các nhà phát triển phpMyAdmin vừa đưa ra cảnh báo về phiên bản phân phối qua SourceForge bị thay đổi và nhúng mã độc, mở cửa hậu khiến rất nhiều website dùng ứng dụng quản lí cơ sở dữ liệu này lâm nguy.

Mã "cửa hậu" (backdoor) được nhúng vào có thể cho phép những kẻ tấn công từ xa chiếm quyền điều khiển máy chủ vận hành sử dụng phpMyAdmin.

Đoạn mã PHP độc hại được tìm thấy trong tập tin server_sync.php, cho phép thực thi các câu lệnh dạng mã PHP nhúng trực tiếp. Bất kì ai biết "cửa hậu" này đều có thể thực thi các đoạn mã xấu có chủ đích theo ý mình. Trên website chính thức của nhóm phát triển phpMyAdmin còn cho biết tập tin js/cross_framing_protection.js cũng bị hiệu chỉnh, bổ sung mã xấu.

HD Moore, giám đốc bảo mật (CSO) của Rapid7 và cũng là kĩ sư trưởng công cụ khai thác lỗi bảo mật Metasploit, đã trình bày lỗi này với giới bảo mật và hacker. Ông cũng cho biết đã đưa môđun khai thác lỗi này vào Metasploit. Đây thật sự là điều rất đáng lo vì Metasploit là công cụ thương mại, bất kì ai cũng có thể mua và tự tổ chức cuộc tấn công nhắm vào lỗi mà không cần am hiểu nhiều về kĩ thuật.

Ảnh
Phân tích mã nguồn trong tập tin server_sync.php cho thấy có mã độc hại mở "cửa hậu" cho phép hacker thực thi mã tùy ý trên máy chủ cơ sở dữ liệu - Ảnh: WooYun.

Điều đáng lo ngại thứ hai đến từ SourceForge, được xem là nguồn lưu trữ chính thống đáng tin cậy cho các dự án nguồn mở. SourceForge chứa hơn 324.000 dự án mã nguồn mở, mỗi ngày tiếp nhận hơn 4 triệu lượt tải, hơn 46 triệu người dùng. Các quản trị viên (admin) website thường xuyên cập nhật những phiên bản mới từ SourceForge. Do đó, khi phpMyAdmin có nhúng mã độc được phát hành từ một trong những kênh phân phối của SourceForge, mức độ lan tỏa và quy mô ảnh hưởng sẽ rất lớn.

phpMyAdmin là công cụ trên nền web miễn phí sử dụng, dùng để quản lí cơ sở dữ liệu MySQL. Hầu hết website được xây dựng trên ngôn ngữ nguồn mở PHP đều gắn kết với cơ sở dữ liệu MySQL, và phpMyAdmin cũng luôn song hành. Quản trị viên thường thông qua giao diện nền web của phpMyAdmin để quản trị CSDL thay vì vận hành qua câu lệnh trực tiếp từ máy chủ (server). Số lượng website mã mở dùng phpMyAdmin lên đến hàng triệu.

Theo thông tin xác nhận từ phía SourceForge, tập tin phpMyAdmin 3.5.2.2-all-languages.zip có chứa đoạn mã độc này, phát hành qua kênh cdnetworks-kr-1. Nhóm quản trị hiện đang tiến hành điều tra.

Theo HD Moore, nếu máy chủ phân phối dữ liệu đó bị xâm nhập, không chỉ có phpMyAdmin bị nhúng mã độc mở "cửa hậu" mà còn hơn 12.000 dự án nguồn mở khác cũng cần được chú ý.

Nhưng sau đó, SourceForge chính thức tuyên bố rằng, họ tin rằng phpMyAdmin là gói duy nhất bị chèn mã độc. Phía Hàn Quốc cũng xác nhận chỉ có khoảng 400 lượt tải về gói nhiễm độc này, dự đoán thời điểm máy chủ bị xâm nhập vào ngày 22/9.

Đây không phải lần đầu tiên một dự án nguồn mở được dùng phổ biến bị sự cố bảo mật làm ảnh hưởng rất nhiều người dùng. Trong tháng 6, nền tảng blog nguồn mở WordPress đã phải yêu cầu tất cả chủ tài khoản tại WordPress.org thay đổi mật khẩu sau khi khám phá các hacker đã chiếm giữ được mật khẩu người dùng với phần mềm mã độc. Cũng cần kể đến sự cố đối với ngôn ngữ lập trình PHP ba tháng trước đó, một trong các máy chủ của nhóm phát triển bị hack và mã nguồn PHP bị nhúng mã độc.

Trước đó vào tháng ba, GitHub, kho lưu trữ dự án phần mềm nguồn mở tương tự SourceForge, bị hack đã khiến hàng triệu dự án nguồn mở như jQuerry, Ruby on Rail, Reddit, Linux... bị ảnh hưởng.

Cập nhật: theo thông tin mới nhất từ phía Hàn Quốc, chỉ có khoảng 400 lượt tải gói phpMyAdmin dính mã độc này. Như vậy số website dính mã độc có lẽ ít hơn con số 400.

Theo Nhịp Sống Số (TTO)




Bình luận

  • TTCN (0)