Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum, và đây là cách kích hoạt

Tuần rồi, một lỗ hổng bảo mật 0-day nghiêm trọng trong nền tảng vBulletin Forum đã chính thức được công bố. Với lỗ hổng này, tin tặc có thể thực hiện các cuộc tấn công thực thi mã lệnh tùy ý từ xa vào các diễn đàn chạy nền tảng vBulletin Forum. Hôm nay, Cloudflare đã chính thức cập nhật một rules đặc biệt nhằm ngăn chặn các chiến dịch khai thác này thực thi trên các trang web vBulletin Forum được bảo vệ vởi dịch vụ của Cloudflare.

Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum - CyberSec365.org

Theo đó, các lỗ hổng bảo mật RCE (Remote code execution) được các nhà nghiên cứu nhận định là rất nghiêm trọng bởi chúng cho phép tin tặc thực thi các mã lệnh tùy ý, chiếm quyền điều khiển website, cài đặt mã độc hoặc thậm chí phát tán mã độc đến các thiết bị truy cập website. Cụ thể, kể từ khi lỗ hổng bảo mật này (có mã hiệu CVE-2019-16759) được công bố, rất nhiều các chiến dịch khai thác đã được phát động, nhắm mục tiêu vào các diễn đàn sử dụng nền tảng vBulletin Forum nhằm biến các diễn đàn này thành zoombie của các mạng botnet hoặc để phát tán mã độc.
Để bảo vệ người dùng khỏi các chiến dịch này, mới đây Cloudflare đã công bố một rules mới cho Web Application Firewall (WAF) của mình. Điều này có nghĩa là các trang web sử dụng dịch vụ của Cloudflare và đã bật Web Application Firewall (WAF) sẽ không bị ảnh hưởng bởi các chiến dịch khai thác này.

Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum - CyberSec365.org

Đây được xem là một giải pháp tạm thời cho các quản trị viên diễn đàn. Tuy nhiên, các quản trị viên diễn đàn đươc khuyến nghị phải tiến hành cập nhật các bản vá lỗi chính thức để đảm bảo an toàn nhất có thể. Tuy nhiên, với kinh nghiệm triển khai các diễn đàn của mình, tôi nghĩ việc cập nhật các bản vá lỗi đối với các nền tảng diễn đàn vBulletin Forum thực sự không dễ vì có nhiều lý do khác nhau. Do đó, phương pháp bảo vệ này trước mắt sẽ rất hữu ích đối cho các diễn đàn đang sử dụng dịch vụ của Cloudflare.

Cách kích hoạt chức năng chặn khai thác lỗ hổng bảo mật CVE-2019-16759 trên Cloudflare

Để kích hoạt chức năng chặn khai thác lỗ hổng bảo mật CVE-2019-16759 mới của Cloudflare, bạn cần đăng nhập vào bảng điều khiển Cloudflare cho trang web của bạn và chọn Firewall rồi chọn Managed Firewall.

Ở giao diện Managed Firewall, bạn sẽ thấy một tab có tiêu đề "Web Application Firewall" ở đầu trang. Tùy chọn này nên được đặt "On" như hình bên dưới.

Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum - CyberSec365.org

Bây giờ Firewall đã được bật, bạn cần kích hoạt bộ rules bảo vệ cho lỗ hổng CVE-2019-16759.

Để làm điều đó, cuộn xuống trang cho đến khi bạn thấy một phần có tiêu đề "Cloudflare Managed Ruleset" và về phía dưới, bạn sẽ thấy một bộ quy tắc có tiêu đề "Cloudflare Specials". Để bật quy tắc này, hãy đặt bật tắt thành "On" như bên dưới.

Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum - CyberSec365.org

Giờ đây, rules này đã được kích hoạt, bảo vệ bạn khỏi lỗ hổng bảo mật 0-day của nền tảng vBulletin Forum và khi kẻ tấn công cố gắng khai thác lỗ hổng, chúng sẽ bị chặn.

Cloudflare cập nhật chức năng chặn khai thác lỗ hổng RCE CVE-2019-16759 trên nền tảng vBulletin Forum - CyberSec365.org

Bạn có thể theo dõi xem bảo vệ có chặn bất kỳ cuộc tấn công nào hay không bằng cách vào phần Overview về cài đặt Firewall. Mọi nỗ lực bị chặn sẽ hiển thị trong danh mục dịch vụ WAF.

Sau đó, bạn có thể nhấp vào yêu cầu bị chặn để xem chi tiết đầy đủ về những gì kẻ tấn công đang cố gắng làm.

Đại Phát (Theo Bleepingcomputer)