Trang chủ Chuyên đề An toàn thông tin

Cảnh báo lỗ hổng bảo mật
(Ngày đăng :06/07/2016 4:05:16 CH)


Ảnh minh họa (Nguồn Internet)

(laichau.gov.vn) Nhằm đảm bảo an toàn thông tin, ngày 28/6, Sở Thông tin và Truyền thông đã ban hành công văn số 544 /STTTT-VTCNTT về cảnh báo lỗ hổng bảo mật trên các website sử dụng hệ quản trị nội dung mã nguồn mở DotNetNuke.

Mới đây các tổ chức bảo mật trên thế giới và Việt Nam công bố lỗ hổng bảo mật “DotnetNuke Administration Authentication Bypass” (mã lỗi CVE-2015-2794) tồn tại trên hầu hết các phiên bản DNN từ 07.04.00 trở xuống. Lợi dụng cơ chế không xác thực truy cập của người dùng đối với thư mục “install” trong thư mục gốc của các Website cài đặt DotNetNuke, tin tặc dễ dàng thực thi câu lệnh từ xa để tạo tài khoản có quyền quản trị tải lên mã độc cửa hậu (backdoor) để chiếm quyền kiểm soát toàn bộ máy chủ chỉnh sửa nội dung, phá hoại gây mất an ninh, an toàn thông tin nhiều Website của cơ quan Nhà nước.

Lỗ hổng bảo mật “DotnetNuke Administration Authentication Bypass ”  trong hệ quản trị nội dung DotNetNuke là lỗ hổng bảo mật nghiêm trọng. Để khắc phục và phòng ngừa hoạt động tấn công khai thác lỗ hổng bảo mật trên, Sở Thông tin và Truyền thông khuyến cáo đến các Sở, Ban, Ngành tỉnh; các Huyện ủy, UBND các huyện, thành phố và các doanh nghiệp Trung ương đóng trên địa bàn tỉnh thực hiện một số biện pháp xử lý sau:

1. Tổ chức rà soát các Website của cơ quan, kịp thời khắc phục, xử lý lỗ hổng bảo mật nhằm tránh bị tin tặc lợi dụng làm bàn đạp để tấn công xâm nhập, leo thang vào hệ thống mạng nội bộ, phá hủy hoặc đánh cắp bí mật nội bộ, bí mật nhà nước.

2. Xử lý khi phát hiện lây nhiễm mã độc:

- Cài đặt bản vá lỗi từ nhà sản xuất hoặc cập nhật lên phiên bản DNN mới nhất. Hiện tại, DotNetNuke đã phát hành phiên bản 07.04.01 để vá lỗ hổng bảo mật này.

- Xóa bỏ các tập tin: Install.aspx, Install.aspx.cs, InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspx, UpgradeWizard.aspx trong thư mục cài đặt (/install) trên máy chủ lưu trữ Website ngay lập tức.

- Cấu hình giới hạn, không cho phép tải lên máy chủ lưu trữ Website các định dạng không an toàn. Tại giao diện quản trị của DNN, tìm đến Host > Host Setting > Other Setting > Allowable File Extensions, kiểm tra và đảm bảo rằng các tập tin có phần mở rộng .aspx không được phép tải lên.

- Tìm đến Host > SuperUser Accounts để kiểm tra và xóa các tài khoản nghi ngờ, không phải do người quản trị Website tạo ra.

- Tìm kiếm và xóa các tập tin có phần mở rộng là .php, .aspx, .asp nghi ngờ chứa mã độc, cửa hậu (web-backdoor), bị cài đặt trên hệ thống.

3. Thông báo ngay cho Sở Thông tin và Truyền thông khi phát hiện hoạt động tấn công mạng, xâm nhập vào hệ thống để kịp thời phối hợp, xử lý.

Tin liên quan

Tăng cường sự lãnh đạo của Đảng đối với công tác đảm bảo trật tự, an toàn giao thông đường bộ, đường thuỷ nội địa và khắc phục ùn tắc giao thông(18/09/2019 2:33:50 CH)

Liên thông giữa dịch vụ chứng thực chữ ký số quốc gia và chữ ký số chuyên dùng Chính phủ(31/07/2019 8:05:28 SA)

Luật An ninh mạng: Công cụ bảo vệ người dân khỏi thông tin xấu, độc(03/07/2018 9:18:48 SA)

Người phát ngôn: Luật an ninh mạng cần thiết cho an ninh quốc gia(15/06/2018 8:58:55 SA)

Quốc hội biểu quyết thông qua Luật An ninh mạng(13/06/2018 1:00:12 CH)

Tin mới nhất

Lai Châu - Miền đất của các loại lan đẹp (18/01/2020 12:36:47 SA)

Những chiến sỹ giữ bình yên cho Tết(18/01/2020 9:22:10 SA)

Khoảnh khắc ngày xuân(18/01/2020 2:13:02 CH)

Lai Châu: Cải thiện môi trường, thu hút nguồn đầu tư chất lượng(17/01/2020 4:13:13 CH)

Những bông hoa miền biên viễn(09/01/2020 8:17:59 SA)

CỔNG THÔNG TIN ĐIỆN TỬ TỈNH LAI CHÂU
Cơ quan chủ quản:             
Giấy phép số:
Chịu trách nhiệm chính:
Trụ sở:
Điện thoại:
Fax:
Email:
Ủy ban nhân dân tỉnh Lai Châu
26/GP - TTĐT, do Sở Thông tin và Truyền thông cấp ngày: 08/01/2019
Ông Kiều Hải Nam - Phó Chánh Văn phòng UBND tỉnh Lai Châu

Tầng 1,2,3 nhà B - khu Hành chính - Chính trị tỉnh

02133.876.460                  
02133.876.337
laichau@chinhphu.vn

Ghi rõ nguồn www.laichau.gov.vn khi sử dụng thông tin trên website này
top
down