美国大学所使用的ERP系统遭骇客入侵,62所学校受害

发布于2019-07-22 12:50:25

导读: EllucianBanner系统界面示意图美国教育部在7月17日指出,专供高等教育使用的企业资源规划(ERP)系统EllucianBanner含有一安全漏洞,允许骇客取

Ellucian Banner系统界面示意图

美国教育部在7月17日指出,专供高等教育使用的企业资源规划(ERP)系统Ellucian Banner含有一安全漏洞,允许骇客取得用户的Session ID,已传出有62所大专院校遭到骇客入侵。

此一漏洞编号为CVE-2019-8978,它藏匿在可客制化网页应用的Ellucian Banner Web Tailor模组中,以及用户账号管理模组Ellucian Banner Enterprise Identity Services。根据美国国家标准与技术研究院(NIST)的说明,该漏洞允许骇客不断以受害者UDCID(Unique Device ID)的IDMSESSID cookie送出请求予Web Tailor首页,造成竞赛情况,使得系统发布受害者的Session ID予骇客。

Ellucian的官网上显示,全球有超过1,400个大专院校使用Ellucian Banner 来管理学生的成绩、员工薪资、课程表、招生或助学贷款。

而美国教育部则说,已经有62所境内大专院校的Ellucian Banner遭到骇客开采,骇客不但已打造出攻击程式,还积极地扫描网络上含有该漏洞的Ellucian Banner系统,成功开采后并利用招生或注册功能来建立学生账号,于24小时之内至少已建立了600个假冒的学生账号,有些账号甚至立即展开犯罪行动。

教育部警告,此一情况可能会置教育部的资料及系统于重大的安全风险中,受到该漏洞影响的学校应尽速修补。

事实上Ellucian早在今年5月14日就修补了CVE-2019-8978,显然是学校没有跟上修补进度。该漏洞影响Banner Web Tailor8.8.3与8.8.4,以及Banner EnterpriseIdentity Services8.3、8.3.1、8.3.2、8.4或更早的版本,而Banner Web Tailor 8.9则已修补相关臭虫。Ellucian呼吁用户应升级到未受波及的版本。

相关文章