Les notes des étudiants stockées dans la plate-forme éducative grecque UniverSIS pourraient être manipulées via SQLi

Une vulnérabilité d’injection SQL (SQLi) dans une plate-forme open source développée par des universités grecques pour gérer les données des étudiants a laissé les notes académiques à risque de manipulation.

Les malfaiteurs exploitant la vulnérabilité de l’application, UniverSIS, pourraient également avoir récupéré des identifiants, des noms d’étudiants, des noms de parents, des numéros de sécurité sociale, des adresses personnelles et des téléphones personnels et mobiles, selon un article de blog publié par le chercheur en sécurité Stavros Mekesis.

Les mainteneurs ont publié un correctif sur GitLab un jour après avoir été alertés de la faille (suivi comme CVE-2022-29603).

« Des millions d’utilisateurs »

UniversSIS est un système d’information sur les étudiants (SIS) utilisé par certaines des plus grandes universités de Grèce, y compris la plus grande, l’Université Aristote de Thessalonique, pour stocker et gérer les informations personnellement identifiables des étudiants, les résultats des tests et d’autres données sensibles.

« La plate-forme gère également les étudiants inactifs et les employés inactifs », a déclaré Mekesis. La gorgée quotidienne. « Donc, ce serait une estimation sûre de dire que la plate-forme compte des millions d’utilisateurs. »

Bien que la complexité de l’attaque soit faible, l’attaquant doit être authentifié, mais avec de faibles privilèges, tels que ceux d’un étudiant, selon Mekesis.

« Cependant, étant donné que de nombreux étudiants ont tendance à réutiliser les mots de passe, une fois que ces mots de passe sont compromis, ils peuvent être utilisés pour pénétrer dans UniverSIS et exploiter la vulnérabilité SQLi », a averti Mekesis. « De plus, le phishing est une forme d’attaque relativement bon marché et efficace. »

Le problème d’UniverSIS SQLi impliquait le $select paramètre et affecté plusieurs points de terminaison d’API, y compris /api/etudiants/moi/messages/en raison d’une validation incorrecte de l’entrée fournie par l’utilisateur.

Après avoir envoyé des instructions SQL spécialement conçues à un point de terminaison vulnérable, l’attaquant pourrait « afficher, ajouter, modifier ou supprimer des informations dans la base de données principale », selon Mekesis.

Réponse rapide

Les versions d’UniverSIS jusqu’à la version 1.2.1 incluse sont toutes potentiellement vulnérables.

Mekesis a conseillé aux utilisateurs d’appliquer un correctif dès que possible.

« L’équipe de support d’UniverSIS a répondu instantanément » après que Mekesis les ait contactés le 17 avril 2022, selon le chercheur. Les principaux développeurs, Kyriakos et Anthi, ont déployé un correctif le 18 avril, a déclaré Mekesis, après que « Kyriakos ait travaillé sans relâche (même le dimanche de Pâques orthodoxe !) pour assurer la sécurité des universités grecques. Bravo! »

C’est la deuxième fois ce mois-ci que Mekesis documente un bogue dans UniverSIS, ayant révélé une vulnérabilité de divulgation d’informations sur la plateforme il y a trois semaines.