美國教育部在本週釋出的一份安全警報中稱,黑客利用企業資源規劃(ERP)Web應用程式中的漏洞入侵了62所高校的系統。
該漏洞存在於Ellucian Banner Web Tailier中,該模組是Ellucian Banner ERP的一個模組,允許大學自定義其前端Web應用程式。該漏洞還影響Ellucian Banner Enterprise Identity Services,一個用於管理使用者帳戶的模組。
今年早些時候,一位名叫Joshua Mulliken的安全研究員發現了兩個模組使用的身份驗證機制中的一個漏洞,遠端攻擊者可以利用該漏洞劫持受害者的網路會話並訪問他們的帳戶。Ellucian於5月修復了該漏洞,並由研究員和NIST公開披露(見CVE-2019-8978)。但是在週三釋出的一份安全警報中,教育部說黑客已經開始利用這個漏洞。該部門已經確定了62個受此漏洞影響的學院或大學,”官員說。“我們最近還收到了一些資訊,表明犯罪分子一直在積極掃描網際網路,尋找通過這一漏洞受害的機構,並制定針對這一漏洞的機構名單。”
教育部表示,這些攻擊的受害者報告說,在攻擊他們的系統後,攻擊者“利用受影響的ERP系統的招生或登記部分中的指令碼來建立多個學生帳戶。”一名受害者報告說,攻擊者在數天內建立了數千個假帳戶,在24小時內建立了大約600個帳戶。官員們說,這些賬戶“幾乎立即用於犯罪活動”,但沒有提供任何有關犯罪活動性質的細節。
由於Ellucian Banner Web Tailor系統與ERP的其餘部分相連,部門官員表示他們擔心黑客可能會獲得學生的財務援助資料。官員現在正在敦促使用易受攻擊的ERP模組版本的學院和大學儘快打補丁。
在公司於本月發出的第二份安全警報中,Ellucian也提出了同樣的建議。然而,該公司否認虛假賬戶的建立與其ERP的缺陷和最近的攻擊有關。“雖然據報導攻擊者可以利用上述漏洞建立賬戶,但Ellucian認為這不正確,”它說。“警報中描述的問題不被認為與先前修補的Ellucian Banner System漏洞有關,並不僅限於使用Ellucian產品的機構。“攻擊者正在利用機器人提交欺詐性入院申請,並通過入院申請入口網站獲取機構電子郵件地址,”Ellucian補充說。“Ellucian建議在錄取過程中增加reCAPTCHA功能,以降低因招生而遭遇欺詐性申請的可能性,即使機構目前沒有遇到此問題。”
換句話說,Ellucian認為教育部正在將利用其ERP中的缺陷的企圖與另一組不同的攻擊混為一談。Ellucian表示正在與該部門合作調查這些攻擊並清除混亂。
根據其網站,Ellucian Banner ERP被1400多所大學,大學和其他機構使用。
來源:ZDNnet