(吉隆坡27日讯)国家网络安全机构(NACSA)指出,包括卫生部在内、大马合作社委员会、手工艺术发展局和妇女发展局等数个政府机构网站都遭到骇客攻击。
该机构旗下的国家网络协调与指挥中心(NC4)昨天在该中心官网发文告说,Joomla内容管理系统(CMS)的一个内容编辑扩展程序JCE存在安全漏洞。
文告指出,有关漏洞允许远程攻击者创建恶意CMS编辑器文件,上传及执行任意PHP代码,从而在未经身分验证情况下,通过远程代码执行(RCE)攻击受影响网站的服务器。
文告说,攻击者也可建立永久后门,窃取数据、篡改网站页面、横向渗透至其它系统,及完全接管网站,导致受影响网站及保存的数据机密性、完整性和可用性存在风险。
国家网络安全机构发言人告诉《星报生活刊》(StarLifestyle)说,有关安全漏洞相信是导致数个政府机构网站被骇客入侵的原因,而卫生部也已接获通知并正采取必要措施。
国家网络协调与指挥中心则在通告中,督促所有使用JCE的网站更新至2.9.99.6版本,或至少更新至2.9.99.5版本,因使用旧系统而无法更新的用户可安装卖方提供的免费安全修补程式。
“根据854号法令,受影响的国家关键资讯基础设施(NCII)大马实体应向国家网络协调与指挥中心报告相关指标或事件,以共享情报和方便全国协调。”
