Une faille de sécurité dans la plate-forme d’apprentissage en ligne Moodle pourrait permettre à un attaquant de prendre le contrôle d’une base de données et d’obtenir potentiellement des informations sensibles, ont averti des chercheurs.

Moodle est une ressource éducative open source qui permet aux établissements de créer du matériel d’apprentissage en ligne pour les étudiants.

Les chercheurs ont découvert que le site Web est vulnérable à une faille d’injection SQL de second ordre, qui pourrait permettre à un attaquant de prendre le contrôle d’un serveur de base de données.

Les enseignants peuvent créer des badges personnalisés pour leurs élèves, qu’ils peuvent gagner en accomplissant des tâches telles que des cours ou des essais.

Lors de la création de ces badges, il est possible qu’un attaquant ayant le statut d’enseignant insère une requête SQL illicite dans la base de données.

Plus tard, ces données sont extraites de la base de données et injectées sans être nettoyées dans une autre requête. Lorsque le badge est activé pour l’accès par les étudiants, la requête SQL injectée sera exécutée.

Dans un article de blogle chercheur ‘dugisec’ a expliqué le fonctionnement de l’attaque.

Mises en garde

Il est important de noter que pour effectuer cette attaque, un acteur malveillant devra être connecté en tant qu’enseignant.

Cependant, l’impact du bogue authentifié pourrait être dommageable. Le chercheur qui a découvert la vulnérabilité a déclaré qu’elle pouvait également être utilisée dans une attaque XSS stockée.

Ils ont écrit : « Afin d’exploiter cela, un nouveau badge doit être créé pour chaque requête SQL que l’attaquant souhaite exécuter. En effet, une fois qu’un badge a été créé, les critères ne peuvent pas être mis à jour. »

Le chercheur a ajouté: «Je ne serais pas non plus surpris s’il y avait plus de SQLis de cette nature dans Moodle. En prime, ce bogue peut également être utilisé pour les XSS stockés.

LIRE LA SUITE Chercheurs, tricheurs : le bogue RCE dans la plate-forme d’apprentissage en ligne Moodle pourrait être exploité pour voler des données, manipuler les résultats

Dans un courriel à La gorgée quotidienne, Moodle a déclaré qu’un correctif est en cours : « Nous avons enquêté et préparé un correctif pour la vulnérabilité dès que possible après avoir pris connaissance de la rédaction du blog. Le correctif sera publié avec notre prochaine version de sécurité/mineure, qui sera disponible à partir du lundi 14 mars 2022.

« Cette vulnérabilité n’a pas été divulguée à Moodle par le chercheur, nous avons pris conscience du problème après la publication de la rédaction du blog.

« Le problème avec cela est que les administrateurs de site n’ont pas eu la possibilité de corriger leurs systèmes avant que la preuve de concept ne soit disponible. Idéalement, toutes les découvertes de sécurité sont signalées à notre programme de divulgation des vulnérabilités via https://moodle.org/security/report/, afin qu’elles puissent être corrigées et traitées conformément à nos procédures de sécurité.

«Nous recommandons que les instances Moodle soient mises à niveau vers la dernière version une fois le correctif publié la semaine prochaine (ou au moins appliquez les correctifs de sécurité pertinents de cette version).

« En attendant, le moodle/badges : configuration des critères La capacité peut être supprimée des utilisateurs pour les empêcher d’accéder à la fonctionnalité pertinente jusqu’à ce que la mise à jour/correctif soit appliqué (par défaut, cet accès est accordé aux enseignants et aux gestionnaires).