美国大学所使用的ERP系统遭骇客入侵，62所学校受害

美国教育部在7月17日指出，专供高等教育使用的企业资源规划（ERP）系统Ellucian Banner含有一安全漏洞，允许骇客取得用户的Session ID，已传出有62所大专院校遭到骇客入侵。

此一漏洞编号为CVE-2019-8978，它藏匿在可客制化网页应用的Ellucian Banner Web Tailor模组中，以及用户账号管理模组Ellucian Banner Enterprise Identity Services。根据美国国家标准与技术研究院（NIST）的说明，该漏洞允许骇客不断以受害者UDCID（Unique Device ID）的IDMSESSID cookie送出请求予Web Tailor首页，造成竞赛情况，使得系统发布受害者的Session ID予骇客。

Ellucian的官网上显示，全球有超过1,400个大专院校使用Ellucian Banner 来管理学生的成绩、员工薪资、课程表、招生或助学贷款。

而美国教育部则说，已经有62所境内大专院校的Ellucian Banner遭到骇客开采，骇客不但已打造出攻击程式，还积极地扫描网络上含有该漏洞的Ellucian Banner系统，成功开采后并利用招生或注册功能来建立学生账号，于24小时之内至少已建立了600个假冒的学生账号，有些账号甚至立即展开犯罪行动。

教育部警告，此一情况可能会置教育部的资料及系统于重大的安全风险中，受到该漏洞影响的学校应尽速修补。

事实上Ellucian早在今年5月14日就修补了CVE-2019-8978，显然是学校没有跟上修补进度。该漏洞影响Banner Web Tailor8.8.3与8.8.4，以及Banner EnterpriseIdentity Services8.3、8.3.1、8.3.2、8.4或更早的版本，而Banner Web Tailor 8.9则已修补相关臭虫。Ellucian呼吁用户应升级到未受波及的版本。