黑客通过利用ERP漏洞破坏了62所美国大学

美国教育部在本周发布的一份安全警报中称，黑客利用企业资源规划（ERP）Web应用程序中的漏洞入侵了62所高校的系统。

该漏洞存在于Ellucian Banner Web Tailier中，该模块是Ellucian Banner ERP的一个模块，允许大学自定义其前端Web应用程序。该漏洞还影响Ellucian Banner Enterprise Identity Services，一个用于管理用户帐户的模块。

今年早些时候，一位名叫Joshua Mulliken的安全研究员发现了两个模块使用的身份验证机制中的一个漏洞，远程攻击者可以利用该漏洞劫持受害者的网络会话并访问他们的帐户。

Ellucian于5月修复了该漏洞，并由研究员和NIST公开披露（见CVE-2019-8978）。

但是在周三发布的一份安全警报中，教育部说黑客已经开始利用这个漏洞。

该部门已经确定了62个受此漏洞影响的学院或大学，”官员说。

“我们最近还收到了一些信息，表明犯罪分子一直在积极扫描互联网，寻找通过这一漏洞受害的机构，并制定针对这一漏洞的机构名单。”

教育部表示，这些攻击的受害者报告说，在攻击他们的系统后，攻击者“利用受影响的ERP系统的招生或登记部分中的脚本来创建多个学生帐户。”

一名受害者报告说，攻击者在数天内创建了数千个假帐户，在24小时内创建了大约600个帐户。

用于“犯罪活动”的假帐户

官员们说，这些账户“几乎立即用于犯罪活动”，但没有提供任何有关犯罪活动性质的细节。

由于Ellucian Banner Web Tailor系统与ERP的其余部分相连，部门官员表示他们担心黑客可能会获得学生的财务援助数据。

官员现在正在敦促使用易受攻击的ERP模块版本的学院和大学尽快打补丁。

在公司于本月发出的第二份安全警报中，Ellucian也提出了同样的建议。然而，该公司否认虚假账户的创建与其ERP的缺陷和最近的攻击有关。

“虽然据报道攻击者可以利用上述漏洞创建账户，但Ellucian认为这不正确，”它说。“警报中描述的问题不被认为与先前修补的Ellucian Banner System漏洞有关，并不仅限于使用Ellucian产品的机构。

“攻击者正在利用机器人提交欺诈性入院申请，并通过入院申请门户网站获取机构电子邮件地址，”Ellucian补充说。“Ellucian建议在录取过程中增加reCAPTCHA功能，以降低因招生而遭遇欺诈性申请的可能性，即使机构目前没有遇到此问题。”

换句话说，Ellucian认为教育部正在将利用其ERP中的缺陷的企图与另一组不同的攻击混为一谈。Ellucian表示正在与该部门合作调查这些攻击并清除混乱。

根据其网站，Ellucian Banner ERP被1400多所大学，大学和其他机构使用。