Ellucian Banner系統介面示意圖

美國教育部在7月17日指出,專供高等教育使用的企業資源規畫(ERP)系統Ellucian Banner含有一安全漏洞,允許駭客取得用戶的Session ID,已傳出有62所大專院校遭到駭客入侵。

此一漏洞編號為CVE-2019-8978,它藏匿在可客製化網頁應用的Ellucian Banner Web Tailor模組中,以及用戶帳號管理模組Ellucian Banner Enterprise Identity Services。根據美國國家標準與技術研究院(NIST)的說明,該漏洞允許駭客不斷以受害者UDCID(Unique Device ID)的IDMSESSID cookie送出請求予Web Tailor首頁,造成競賽情況,使得系統發布受害者的Session ID予駭客。

Ellucian的官網上顯示,全球有超過1,400個大專院校使用Ellucian Banner 來管理學生的成績、員工薪資、課程表、招生或助學貸款。

而美國教育部則說,已經有62所境內大專院校的Ellucian Banner遭到駭客開採,駭客不但已打造出攻擊程式,還積極地掃描網路上含有該漏洞的Ellucian Banner系統,成功開採後並利用招生或註冊功能來建立學生帳號,於24小時之內至少已建立了600個假冒的學生帳號,有些帳號甚至立即展開犯罪行動。

教育部警告,此一情況可能會置教育部的資料及系統於重大的安全風險中,受到該漏洞影響的學校應儘速修補。

事實上Ellucian早在今年5月14日就修補了CVE-2019-8978,顯然是學校沒有跟上修補進度。該漏洞影響Banner Web Tailor8.8.3與8.8.4,以及Banner EnterpriseIdentity Services8.3、8.3.1、8.3.2、8.4或更早的版本,而Banner Web Tailor 8.9則已修補相關臭蟲。Ellucian呼籲用戶應升級到未受波及的版本。


Advertisement

更多 iThome相關內容