2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。
該漏洞存在于Ellucian Banner Web Tailor中,這是Ellucian Banner ERP的一個模塊,可讓大學自定義其面向前方的Web應用程序。該漏洞還會影響Ellucian Banner企業(yè)身份服務,這是一個用于管理用戶帳戶的模塊。今年早些時候,一位名叫Joshua Mulliken的安全研究人員發(fā)現(xiàn)了這兩個模塊使用的身份驗證機制中存在一個漏洞,該漏洞可能允許遠程攻擊者劫持受害者的??網(wǎng)絡會話并獲取對其帳戶的訪問權限。Ellucian在5月修復了漏洞,研究人員和NIST公布了一份公開披露信息(見CVE-2019-8978)。
“我們最近還收到的信息表明,犯罪分子一直在積極掃描互聯(lián)網(wǎng),尋找機構通過這一漏洞受害,并制定針對這種剝削目標的機構名單。”
教育部表示,這些攻擊的受害者報告說,在攻擊他們的系統(tǒng)后,攻擊者“利用受影響的Banner系統(tǒng)的招生或登記部分中的腳本來創(chuàng)建多個學生帳戶。”
一名受害者報告說,攻擊者在幾天內創(chuàng)建了數(shù)千個虛假賬戶,在24小時內創(chuàng)建了大約600個賬戶。
用于“犯罪活動”的假帳戶
有關官員表示,這些帳戶“幾乎是立即用于犯罪活動”,但未提供有關活動性質的任何細節(jié)。
由于Ellucian Banner Web Tailor系統(tǒng)與ERP的其余部分相連,部門官員表示他們擔心黑客可能會獲得學生的財務援助數(shù)據(jù)。
官員現(xiàn)在正在敦促使用易受應用補丁的ERP模塊版本的學院和大學。
在公司于本月發(fā)出的第二份安全警報中,Ellucian也提出了同樣的建議。然而,該公司否認虛假賬戶的創(chuàng)建與其ERP的缺陷和最近的攻擊有關。
“雖然據(jù)報道攻擊者可以利用上述漏洞創(chuàng)建賬戶,但Ellucian認為這不正確,”它說。“警報中描述的問題不被認為與先前修補的Ellucian Banner System漏洞有關,并不僅限于使用Ellucian產(chǎn)品的機構。
“攻擊者正在利用機器人提交欺詐性入院申請,并通過入院申請門戶網(wǎng)站獲取機構電子郵件地址,”Ellucian補充說。“Ellucian建議在錄取過程中增加reCAPTCHA功能,以降低因招生而遭遇欺詐性申請的可能性,即使機構目前沒有遇到此問題。”
換句話說,Ellucian認為教育部正在將利用其ERP中的缺陷的企圖與另一組不同的攻擊混為一談。Ellucian表示正在與該部門合作調查這些攻擊并清除混亂。
根據(jù)其網(wǎng)站,Ellucian Banner ERP被1400多所大學,大學和其他機構使用。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。