电子学习平台Moodle出现严重CSRF缺陷，TWCERT/CC吁尽速修补

广受国内学术单位欢迎的开源电子学习平台Moodle，在19日时公告，因软件出现跨站请求伪造（Cross-site Request Forgery，CSRF）漏洞，开发者已经推出了3.1至3.5各分支的修正版本，而根据台湾电脑网络危机处理暨协调中心（TWCERT/CC）指出，光是国内大学就有37间采用这套软件，因此呼吁要赶快进行修补。这个漏洞的危险程度为重大，已建档为CVE-2018-16854列管。

这项弱点来自Moodle登入表单的安全机制，服务器端透过authenticate_user_login( )函数，验证使用者的请求是否合法，同时也可以一并检查位于..\core\session\manager路径之Token，不过，这项功能预设并未启动。而外挂验证工具或是内建的密码变更模组执行时，上述的函数验证请求的效力仍在，但缺乏Token检验，因此若是攻击者加入新的组态参数$CFG->disablelogintoken，就能制造跨站请求伪造攻击，回避Moodle对所有表单内的Token内容侦测。

这种攻击手法，主要是利用网站信任浏览器的机制，以恶意连结控制浏览器，存取一个使用者曾经成功认证身份的网站，然后暗地执行某些工作，像是寄送电子邮件、传送讯息、线上转账或购物等等。由于浏览器确实通过验证程序，而且登入资讯也尚未过期，因此网站便完全信任，然而，这样的流程只能证实请求来自浏览器，并不能确保是使用者自愿执行。因恶意网址可用各种形式散播，可放置在网页任意位置，骇客只需将其寄生在一般的论坛或是部落格，一旦服务器管理者疏于防范，攻击者便能假冒使用者的名义，利用浏览器执行不当操作。

经台湾电脑网络危机处理暨协调中心调查，国内超过37所大专院校执行Moodle，包含台湾师范、成功、淡江、景文、慈济、政治、台湾科大、义守、亚洲、暨南、清华、台湾首府、圣约翰、东吴、铭传、东南、华梵、东海、中国科大、辅仁、大华、玄奘、屏东科大、台南、康宁、树德科大、海洋、中国医药、实践、元智、朝阳科大、宏国德霖科大、长庚、岭南、嘉义、中原、宜兰等。因此，他们也建议学术单位尽速清查之后，修补Moodle程式。