该漏洞存在于 Ellucian Banner Web Tailier 中,该模块是 Ellucian Banner ERP 的一个模块,允许大学自定义其前端 Web 应用程序。该漏洞还影响 Ellucian Banner Enterprise Identity Services,这是一个用于管理用户帐户的模块。
今年早些时候,一位名叫 Joshua Mulliken 的安全研究员发现了两个模块使用的身份验证机制中的一个漏洞,远程攻击者可以利用该漏洞劫持受害者的网络会话并访问他们的帐户。
Ellucian 于 5 月修复了该漏洞,并由研究员和 NIST 公开披露(见 CVE-2019-8978)。
但是在周三发布的一份安全警报中,教育部说黑客已经开始利用这个漏洞。
该部门已经确定了 62 个受此漏洞影响的学院或大学,”官员说。“我们最近还收到了一些信息,表明犯罪分子一直在积极扫描互联网,寻找通过这一漏洞受害的机构,并制定针对这一漏洞的机构名单。”
教育部表示,这些攻击的受害者报告说,在攻击他们的系统后,攻击者“利用受影响的ERP系统的招生或登记部分中的脚本来创建多个学生帐户。”
一名受害者报告说,攻击者在数天内创建了数千个假帐户,在 24 小时内创建了大约 600 个帐户。
用于“犯罪活动”的假帐户
官员们说,这些账户“几乎立即用于犯罪活动”,但没有提供任何有关犯罪活动性质的细节。
由于 Ellucian Banner Web Tailor 系统与 ERP 的其余部分相连,部门官员表示他们担心黑客可能会获得学生的财务援助数据。
官员现在正在敦促使用易受攻击的 ERP 模块版本的学院和大学尽快打补丁。
在公司于本月发出的第二份安全警报中,Ellucian 也提出了同样的建议。然而,该公司否认虚假账户的创建与其 ERP 的缺陷和最近的攻击有关。
“虽然据报道攻击者可以利用上述漏洞创建账户,但 Ellucian 认为这不正确,”它说。“警报中描述的问题不被认为与先前修补的 Ellucian Banner System 漏洞有关,并不仅限于使用 Ellucian 产品的机构。
“攻击者正在利用机器人提交欺诈性入院申请,并通过入院申请门户网站获取机构电子邮件地址,”Ellucian 补充说。“Ellucian 建议在录取过程中增加 reCAPTCHA 功能,以降低因招生而遭遇欺诈性申请的可能性,即使机构目前没有遇到此问题。”
换句话说,Ellucian 认为教育部正在将利用其 ERP 中的缺陷的企图与另一组不同的攻击混为一谈。Ellucian 表示正在与该部门合作调查这些攻击并清除混乱。
根据其网站,Ellucian Banner ERP 被 1400 多所大学,大学和其他机构使用。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
