Ban quản trị NukeViet thông báo: Hiện tại các phiên bản NukeViet 4.x đang có lỗi bảo mật, lợi dụng lỗi này kẻ xấu có thể lừa quản trị của site đang đăng nhập admin để thực hiện các thao tác không mong muốn. Bài viết này hướng dẫn quản trị site các biện pháp bảo vệ tạm thời trước khi có bản cập nhật chính thức.
Thông qua bài viết trên website exploit-db, whitehat Ban quản trị NukeViet xác nhận lỗi và đã có phương án fix lỗi. Dự kiến bản fix lỗi sẽ được phát hành trong ngày 27/05/2020. Để website được an toàn trước khi có bản fix lỗi, các quản trị site nên thực hiện một số biện pháp sau:
1. Tất cả các quản trị site, đặc biệt là điều hành chung và quản trị tối cao sau khi đăng nhập admin để làm việc xong nên thoát khỏi tài khoản admin. Trong thời gian đang đăng nhập admin không nên truy cập các trang web khác đặc biệt là các trang blog cá nhân, các diễn đàn.
2. Không nên truy cập các trang web lạ, nhấp vào các nút ấn, các liên kết đáng ngờ.
3. Đổi tên thư mục admin mặc định (xem hướng dẫn ở https://wiki.nukeviet.vn/nukeviet4:setup:security#d%E1%BB%95i_ten_thu_m%E1%BB%A5c_admin)
4. Phân quyền các quản trị (quản lý module) một cách hợp lý, thông báo với các quản lý module, điều hành chung về các biện biện pháp tại mục 1, 2
5. Nếu có thể, nên áp dụng thêm các biện pháp bảo mật tại https://wiki.nukeviet.vn/nukeviet4:setup:security
6. Yêu cầu tất cả các quản trị sử dụng các trình duyệt hiện đại như Chrome 83+, Firefox 76+, Edge sử dụng nhân Chromium
7. Kiểm tra và kích hoạt "Giới hạn tên miền" tại khu vực Quản trị > Cấu hình > Thiết lập an ninh > Thiết lập CORS nếu chưa kích hoạt
Hiện tại kiểm tra thấy, việc tác động từ bên ngoài site vào khả năng gây nguy hiểm là rất thấp do đó quản trị nên rà soát lại và thực hiện thao tác số 4 trong hướng dẫn này.
Các quản trị site tiếp tục theo dõi trên nukeviet.vn để cập nhật các thông báo tiếp theo.
1. Tất cả các quản trị site, đặc biệt là điều hành chung và quản trị tối cao sau khi đăng nhập admin để làm việc xong nên thoát khỏi tài khoản admin. Trong thời gian đang đăng nhập admin không nên truy cập các trang web khác đặc biệt là các trang blog cá nhân, các diễn đàn.
2. Không nên truy cập các trang web lạ, nhấp vào các nút ấn, các liên kết đáng ngờ.
3. Đổi tên thư mục admin mặc định (xem hướng dẫn ở https://wiki.nukeviet.vn/nukeviet4:setup:security#d%E1%BB%95i_ten_thu_m%E1%BB%A5c_admin)
4. Phân quyền các quản trị (quản lý module) một cách hợp lý, thông báo với các quản lý module, điều hành chung về các biện biện pháp tại mục 1, 2
5. Nếu có thể, nên áp dụng thêm các biện pháp bảo mật tại https://wiki.nukeviet.vn/nukeviet4:setup:security
Cập nhật sáng ngày 27/05/2020:
Hệ thống CORS mặc định của NukeViet, có thể chặn đa số các thao tác lợi dụng này, do đó quản trị không nên quá lo lắng về lỗi. Đồng thời triển khai thực hiện thêm các bước sau:6. Yêu cầu tất cả các quản trị sử dụng các trình duyệt hiện đại như Chrome 83+, Firefox 76+, Edge sử dụng nhân Chromium
7. Kiểm tra và kích hoạt "Giới hạn tên miền" tại khu vực Quản trị > Cấu hình > Thiết lập an ninh > Thiết lập CORS nếu chưa kích hoạt
Hiện tại kiểm tra thấy, việc tác động từ bên ngoài site vào khả năng gây nguy hiểm là rất thấp do đó quản trị nên rà soát lại và thực hiện thao tác số 4 trong hướng dẫn này.
Các quản trị site tiếp tục theo dõi trên nukeviet.vn để cập nhật các thông báo tiếp theo.
0 Comments