Η ελληνική εκπαιδευτική πλατφόρμα UniversIS αποθηκεύει τους βαθμούς των μαθητών σε SQLi. μπορεί να χειραγωγηθεί μέσω

Οι συντηρητές διορθώνουν άμεσα ζητήματα που θα μπορούσαν να διαρρεύσουν ευαίσθητα προσωπικά δεδομένα

Μια ευπάθεια SQL injection (SQLi) σε μια πλατφόρμα ανοιχτού κώδικα που αναπτύχθηκε από ελληνικά πανεπιστήμια για τη διαχείριση δεδομένων φοιτητών, αφήνει τους ακαδημαϊκούς πτυχιούχους σε κίνδυνο χειραγώγησης.

Οι απατεώνες που εκμεταλλεύτηκαν μια ευπάθεια σε μια εφαρμογή που ονομάζεται Universis μπορεί να έχουν ανακτήσει ταυτότητες, ονόματα μαθητών, ονόματα γονέων, αριθμούς κοινωνικής ασφάλισης, διευθύνσεις σπιτιού, ακόμη και οικιακά και κινητά τηλέφωνα. ανάρτηση Έκδοση από τον ερευνητή ασφαλείας Σταύρο Μεκκέση.

Μια μέρα αφότου οι συντηρητές αντιλήφθηκαν το ελάττωμα, το GitLab κυκλοφόρησε ένα patch CVE-2022-29603,

“Εκατομμύρια χρήστες”

Universis είναι ένα σύστημα πληροφόρησης φοιτητών (SIS) που χρησιμοποιείται από μερικά από τα μεγαλύτερα πανεπιστήμια στην Ελλάδα, συμπεριλαμβανομένου του μεγαλύτερου, του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης, το οποίο αποθηκεύει προσωπικά αναγνωρίσιμες πληροφορίες, αποτελέσματα εξετάσεων και άλλα ευαίσθητα δεδομένα φοιτητών και για διαχείριση.

«Η πλατφόρμα χειρίζεται επίσης ανενεργούς φοιτητές και ανενεργό προσωπικό», εξήγησε ο Μακέζης. The Daily Swig, “Λοιπόν, θα ήταν μια ασφαλής εικασία να πούμε ότι η πλατφόρμα έχει εκατομμύρια χρήστες.”

Αν και η πολυπλοκότητα της επίθεσης είναι χαμηλή, ο εισβολέας πρέπει να πιστοποιηθεί, αν και με λιγότερα προνόμια, όπως αυτό ενός μαθητή, σύμφωνα με τον Μακέζη.

Λάβετε τα πιο πρόσφατα νέα για την ασφάλεια λογισμικού ανοιχτού κώδικα

“Ωστόσο, δεδομένου ότι πολλοί μαθητές επαναχρησιμοποιούν κωδικούς πρόσβασης, μόλις παραβιαστούν αυτοί οι κωδικοί πρόσβασης, μπορούν να χρησιμοποιηθούν για να εισέλθουν στο Universia και να εκμεταλλευτούν ευπάθειες SQLi”, προειδοποιεί ο Makesys. Gave. «Επιπλέον, το phishing είναι μια σχετικά φθηνή και αποτελεσματική μορφή επίθεσης».

Το ζήτημα του Universis SQLi αφορούσε μια παράμετρο και επηρέασε πολλά τελικά σημεία API, μεταξύ άλλων λόγω ακατάλληλης επικύρωσης των εισροών που παρέχονται από τον χρήστη.

READ  το βασικό ελληνικό χριστουγεννιάτικο μπισκότο

Σύμφωνα με τον Makesys, μετά την αποστολή μιας ειδικά διαμορφωμένης δήλωσης SQL σε ένα ευάλωτο τελικό σημείο, ο εισβολέας μπορεί «να δει, να προσθέσει, να τροποποιήσει ή να διαγράψει πληροφορίες στη βάση δεδομένων του back-end».

Γρήγορη απάντηση

Όλες οι εκδόσεις του UniversSIS μέχρι και την 1.2.1 είναι δυνητικά ευάλωτες.

Η Makesys συμβουλεύει τους χρήστες να εφαρμόσουν ένα πρόσφατα κυκλοφόρησε κηλίδα όσο το δυνατόν συντομότερα.

Σύμφωνα με τον ερευνητή, «η ομάδα υποστήριξης του Πανεπιστημίου ανταποκρίθηκε γρήγορα» αφού ο Makesys επικοινώνησε μαζί του στις 17 Απριλίου 2022. Οι κύριοι προγραμματιστές, ο Κυριάκος και η Ανθή, κυκλοφόρησαν ένα patch στις 18 Απριλίου, με τον Μέξη να λέει “Ο Κυριάκος εργάζεται ακούραστα για να κρατήσει ασφαλή τα ελληνικά πανεπιστήμια (ακόμη και την Κυριακή του Πάσχα της Ορθοδοξίας!).

Αυτή είναι η δεύτερη φορά αυτόν τον μήνα που ο Makesys τεκμηριώνει ένα σφάλμα στην Πανεπιστήμια, στο οποίο Αποκάλυψε μια ευπάθεια αποκάλυψης πληροφοριών Στη σκηνή πριν από τρεις εβδομάδες.

συνιστάται Το σφάλμα εφαρμογής κρυπτογράφησης Java κατέστησε ασήμαντη τη δημιουργία διαπιστευτηρίων

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *