menu
  • 訂閱電子報

    國際視窗

    由本部29個駐外單位翻譯各國最新文教新聞,是目前國內報導各國文教新聞最完整的媒體, 每周提供新知,讓讀者可以從臺灣看世界,掌握天下事!

    目前瀏覽路徑 首頁 > 國際視窗 右框
    駐芝加哥辦事處教育組

    至少有62所大學網站系統遭受軟體漏洞威脅

    2019-07-18;The Chronicle of Higher Education 8802019-07-25

    美國教育部上周三晚間發出警告,在高等教育機構中廣泛使用的一個電腦軟體,存在有嚴重的安全性漏洞,使用者可以藉此獲得其他學生的資料及紀錄。這個名為Banner的程式是由製造高等教育軟體的公司Ellucian所運營。根據Ellucian的網站介紹,Banner可以用來管理學生個人資訊、財務、人力資源和獎助學金系統。美國教育部的聯邦學生援助辦公室(Federal Student Aid office)表示,已確認至少有62所大學因軟體漏洞而遭受利用。

    教育部的警告中指出,多所大學注意到有攻擊者滲透進入Banner系統,在「入學及註冊」的網站上建立多個假學生帳號。在過去的24小時裡,教育部表示:「至少有6百個假學生帳號被創建,其中一些帳號幾乎立即被用於犯罪活動」。《舊金山紀事報》在周四詢問有哪些大學受到影響?教育部沒有回應。

    任職於美國商務部底下「國家標準與技術研究所」(National Institute of Standards and Technology) 的電腦科學家保羅.布萊克(Paul E. Black)在今年五月曾表示,這個安全性漏洞可能會引發「非常嚴重的」問題。當時該機構評估此一漏洞的危險性為8.1分(滿分10分),意味著該漏洞具有嚴重的影響。布萊克表示,如果用戶成功破解了該漏洞並獲得管理權限,他就可以更改系統中的任何資訊,包括成績和課程行事曆。更令人擔憂的是,如果大學使用Banner來管理他們的財務援助和線上付款系統,惡意用戶將可以竄改地址和銀行資料,把錢轉移到不同的帳戶。

    布萊克說,此一漏洞是南卡羅萊納大學(University of South Carolina)一名學生在2018年12月所發現的。根據該學生上傳至GitHub的報告顯示,該學生向Ellucian和他的大學通報了這個問題,但直到今年3月底,Ellucian才修復了這個漏洞。目前仍不清楚Ellucian何時或是否已經聯繫了所有使用Banner的大學,通知他們在發現漏洞後修補或更新他們的Banner系統。Ellucian上周四向《舊金山紀事報》發表了一份聲明,但聲明中並未直接回答這些問題。

    Ellucian在聲明中表示,教育部指出其8.9版本的Banner最容易受到攻擊,是錯誤的資訊。該公司已將8.9版本修復,但較老的版本仍存在安全性漏洞。聲明中寫道:「只有Banner Web Tailor 8.8.3和8.8.4版本,以及Banner Enterprise Identity Services(企業版)8.3、8.3.1、8.3.2、8.4或其他更早版本的Banner用戶,才需要使用修復程式。」Ellucian在聲明中指出,駭客寫程式滲透大學資訊系統是「產業問題」,並不單只是Ellucian公司或Banner軟體的問題。大學將大量的個人資訊儲存在電子防火牆後,而試圖攻擊突破防火牆是很常見的行為。根據Inside Higher Ed.報導,紐約門羅大學(Monroe College)本月遭受駭客攻擊,關閉其網站及管理系統,並威脅該校以2百萬美元的比特幣贖回其資訊安全。門羅大學公共事務執行長Jackie Ruegger稱目前該大學已經重新取得系統管理權限。

    漏洞是如何運作的?

    Banner的安全性漏洞是透過「競態條件」而產生(編按:競態條件是一種系統中不希望發生的情況,通常是指設備或系統試圖同時執行兩個或多個操作,但由於設備或系統的性質,必須按正確的順序執行操作而衍生的漏洞),根據布萊克的解釋,競態條件可以比喻為一個鬼鬼祟祟的小偷試圖突破建築物的門禁,假設你走到公寓大樓的保安人員面前,他需要感應你的門禁卡才能開門;當你交出門禁卡,門打開了,這時候任何潛伏徘徊在門邊的人也可以進入。這就是為什麼虛擬潛行者能夠透過複製具有管理權限用戶的電子cookies來進入Banner系統。換句話說,駭客在競態條件中率先進入了系統。

    布萊克還說,一旦駭客進入Banner系統,除非系統保存所有的編輯紀錄,否則大學很難區辨哪些訊息被竄改;且即便系統保存了所有紀錄,也很難篩選出哪些是合法的更動,哪些不是。當然,也有一些不正當行為的跡象是比較明顯的,例如一位教授的帳號在7月份從另一個國家登入了網站,更改了一名學生的成績。

    儘管國家標準與技術研究所將該漏洞評為8.1分高危險,但其使用率很低,這意味著該漏洞很難被濫用。布萊克說:「實際上,漏洞的使用難度很高,但如果駭客真的設法進入了,情況就會變得很糟。」


    相關附件: print

    本期相關訊息


    看前期資料

    相關影音

    延伸閱讀

    閱讀小幫手

    相關網頁


    ※外部連結不代表本報立場
    • 大多學元入學介紹
    • 2012 教育部12年國教宣導紀錄網站
    • 1991報平安留言平台
    • 教育部國民中學學習資源網
    • 創用CC
    • 教育儲蓄戶網
    • 哈客學習網