美國大學所使用的ERP系統遭黑客入侵，62所學校受害

美國教育部在7月17日指出，專供高等教育使用的企業資源規劃（ERP）系統Ellucian Banner含有一安全漏洞，允許黑客取得用戶的Session ID，已傳出有62所大專院校遭到黑客入侵。

該漏洞編號為CVE-2019-8978，它藏匿在可定製化網頁應用的Ellucian Banner Web Tailor模塊中，以及用戶帳號管理模塊Ellucian Banner Enterprise Identity Services。根據美國國家標準與技術研究院（NIST）的說明，該漏洞允許黑客不斷以受害者UDCID（Unique Device ID）的IDMSESSID cookie送出請求給Web Tailor首頁，造成競賽情況，使得系統發布受害者的Session ID給黑客。

Ellucian的官網上顯示，全球有超過1,400個大專院校使用Ellucian Banner來管理學生的成績、員工薪資、課程表、招生或助學貸款。

而美國教育部則說，已經有62所境內大專院校的Ellucian Banner遭到黑客開採，黑客不但已打造出攻擊程序，還積極地掃描網路上含有該漏洞的Ellucian Banner系統，成功開採後並利用招生或註冊功能來創建學生帳號，於24小時之內至少已創建了600個假冒的學生帳號，有些帳號甚至立即展開犯罪行動。

教育部警告，該情況可能會置教育部的數據及系統於重大的安全風險中，受到該漏洞影響的學校應儘快修補。

事實上Ellucian早在今年5月14日就修補了CVE-2019-8978，顯然是學校沒有跟上修補進度。該漏洞影響Banner Web Tailor8.8.3與8.8.4，以及Banner EnterpriseIdentity Services8.3、8.3.1、8.3.2、8.4或更早的版本，而Banner Web Tailor 8.9則已修補相關bug。Ellucian呼籲用戶應升級到未受波及的版本。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！