美國教育部發布了一則關於ERP軟體漏洞的資安通報,建議受影響機構要馬上進行修補。據報有62所大專院校因為網站的招生功能受到入侵,並且讓駭客劫持學生證號來建立詐騙用帳號。這個漏洞出現在Ellucian Banner Web Tailor模組和Ellucian Banner Enterprise Identity Services模組(CVE-2019-8978),已經由該公司在5月份披露及修補,但還是有許多大專學院仍在運行未經修補過的版本。
資安專家Joshua Mulliken披露了這兩個模組會讓學生連線session被存取的認證機制漏洞(CWE-287)。攻擊者利用模塊處理單一登入(SSO)競爭條件(race condition)的錯誤來竊取學生的連線session和機構ID。對學生造成阻斷服務(DoS)攻擊來讓駭客取得認證以建立假帳號。
根據美國教育部的公告,有至少600個詐騙用帳號在24小時內被建立,而且這活動還持續了數天。他們同時警告說,假帳號幾乎立即就被用於網路犯罪活動,不過沒有提供進一步的相關細節。
[延伸閱讀:Mirrorthief駭客集團利用Magecart旁錄攻擊來攻擊數百家美國和加拿大的校園網路商店]
資安通報指出,使用該系統的學校可能沒有足夠的安全措施來分離ERP系統與學生財務援助資料等相關功能,並且建議被入侵的學校採取適當措施來防止進一步的非法存取和風險。雖然該公司在披露安全漏洞技術細節時也同時發布了所需的修補程式,但根據公告,只有一家大學在通報前有更新修補程式。
保護系統免於攻擊的六個祕訣:
網路犯罪分子會持續地利用漏洞攻擊,不僅限於零時差漏洞。因為要修補更新所有的電腦網路系統及作業軟體工具是件相當困難的事情。以下是一些保護系統免於攻擊的最佳實作:
- 建立修補程式管理策略以加強組織內使用各種軟硬體的安全防護。
- 在網站和伺服器上啟用多重身份認證機制,尤其是儲存和管理使用者資料的網站所有者。
- 對於舊系統,安裝資安廠商提供的虛擬修補技術。
- IT和資安團隊可以監控網站、應用程式和網路活動來找出可能代表資料外洩、未經授權存取和遠端執行命令的可疑跡象。
- 懷疑自己的帳密被用來進行惡意活動的使用者應該要監控自己的帳戶是否出現未經授權的交易,一旦發現就立即向相關單位回報欺詐性交易。
- 啟用多層次防護系統,從閘道到端點全面性的保護使用者和企業。
@原文出處:Hackers Exploit ERP App Flaw for Fraudulent Accounts in 62 Colleges, Universities