VNCERT cho biết, hệ thống quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các Trang/Cổng thông tin điện tử, ứng dụng web (gọi chung là website) cho các cơ quan, đơn vị, với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại cơ sở dữ liệu như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các cơ sở dữ liệu NoSQL.
Trong năm 2017 và các tháng đầu năm nay, Drupal đã công bố 7 lỗ hổng bảo mật. Tuy nhiên, chỉ riêng từ cuối tháng 3/2018 đến nay Drupal đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao ở mức nghiêm trọng cần được theo dõi, xử lý khẩn cấp. Số lượng website Drupal tại Việt Nam là khá nhiều nhưng Drupal thường được sử dụng đối với các website có quy mô vừa và nhỏ. Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức Ngân hàng, tài chính.
Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, Trung tâm VNCERT nhận thấy, thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ Trang/Cổng thông tin điện tử được phát triển trên nền tảng Drupal, do đó dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng bảo mật đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin.
Trong trường hợp có website sử dụng Drupal, VNCERT khuyến nghị các cơ quan, đơn vị chú ý 2 lỗ hổng an toàn thông tin:
1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép.
2. Lỗ hổng tấn công kịch bản liên trang.
Xem Chi tiết về hai lỗ hổng, biện pháp xử lý tại đây.
