美国教育部在7月17日指出,专供高等教育使用的企业资源规划(ERP)系统Ellucian Banner含有一安全漏洞,允许黑客取得用户的Session ID,已传出有62所大专院校遭到黑客入侵。
该漏洞编号为CVE-2019-8978,它藏匿在可定制化网页应用的Ellucian Banner Web Tailor模块中,以及用户帐号管理模块Ellucian Banner Enterprise Identity Services。根据美国国家标准与技术研究院(NIST)的说明,该漏洞允许黑客不断以受害者UDCID(Unique Device ID)的IDMSESSID cookie送出请求给Web Tailor首页,造成竞赛情况,使得系统发布受害者的Session ID给黑客。
Ellucian的官网上显示,全球有超过1,400个大专院校使用Ellucian Banner来管理学生的成绩、员工薪资、课程表、招生或助学贷款。
而美国教育部则说,已经有62所境内大专院校的Ellucian Banner遭到黑客开采,黑客不但已打造出攻击程序,还积极地扫描网络上含有该漏洞的Ellucian Banner系统,成功开采后并利用招生或注册功能来创建学生帐号,于24小时之内至少已创建了600个假冒的学生帐号,有些帐号甚至立即展开犯罪行动。
教育部警告,该情况可能会置教育部的数据及系统于重大的安全风险中,受到该漏洞影响的学校应尽快修补。
事实上Ellucian早在今年5月14日就修补了CVE-2019-8978,显然是学校没有跟上修补进度。该漏洞影响Banner Web Tailor8.8.3与8.8.4,以及Banner EnterpriseIdentity Services8.3、8.3.1、8.3.2、8.4或更早的版本,而Banner Web Tailor 8.9则已修补相关bug。Ellucian呼吁用户应升级到未受波及的版本。