用户敦促迁移到替代应用程序,开源项目很久以来就放弃了
Fedena是一家开源学校和大学管理系统,其中包含一系列零日漏洞,有可能导致远程代码执行(RCE)。
随着该项目似乎被放弃,研究人员来自英国发掘缺陷的Infosec Company Pentest Limited敦促用户“尽快迁移到支持产品”。
总共发现了七个安全漏洞,包括两个关键的未经验证的错误。
有一个威胁行为者可以“使用公开可用的工具和可用知识在操作系统上执行命令”,而身份验证旁路缺陷意味着攻击者可以接管“通过使用公共可用知识欺骗的cookie”帐户,根据Pentest的pentest博客文章上周发布。
这两个问题的根本原因是服务器端秘密“在所有部署之间共享”。
“重大漏洞”
其他五个Fedena缺陷仅通过身份验证的攻击者可利用,与SQL注入, 破碎的访问控件和三人跨站脚本((XSS) 问题。
Pentest说,这些“重大脆弱性相对容易找到和利用”。
考虑到“每个裸露的安装都包含儿童的个人信息”,这一点尤其令人担忧。
在2013年发行的最新版本最终版本后,当时的Fedena的维护者说,它供电全球有40,000多家机构- 尽管Pentest研究人员表示,他们在2020年仅在网上发现了30个面向互联网的实例。
However, researchers also observed “multiple open source and commercial forks” of concern, with a company called Foradian now selling a commercial version known as Fedena Pro, while a ‘Sampoorna’ fork is apparently maintained for use in Kerala, India by 15,000 schools with more than seven million students.
不幸的是,彭蒂斯说,所涉及的供应商不会授权测试。
减轻
Pentest表示,用户可以通过停止FedEna应用程序服务器,使用安全生成的随机字符串更改秘密并重新启动服务器来减轻关键漏洞,以代替迁移到替代平台。
另一个漏洞同时,可以通过“使用网络隔离和/或VPN控件”来“显着”缓解,尽管Pentest承认这可能会导致可用性问题。
但是,Pentest警告说,Fedena“依靠严重过时的铁路宝石”,无论缓解措施如何,无论使用何处,都将仍然是安全风险。”
Fedena缺陷的首席研究员Paul Ritchie说:“迁移到新解决方案是[真正]确保不支持软件的唯一方法。”每日swbeplay2018官网ig。“这并不总是实用的,可能需要长期计划。
他说:“在临时”中,理想情况下应将资产从Windows域切除,以减少攻击者的价值或使用访问控件以“尽可能限制主机或服务的可见性”。
披露时间表
这些缺陷是在2020年4月的最新版本Fedena(v2.3)中发现的,这是五旬节的一项黑客马拉松活动。
ProjectFedena.org没有回应发送的查询每日swbeplay2018官网ig通过其接触表格,在过去的八年中没有在Fedena Github存储库上活跃。
