Instructure bestätigt: XSS-Lücke in Canvas für Erpressung und Portal-Defacements ausgenutzt

Zusammenfassung

Der Bildungstechnik-Anbieter Instructure hat bestätigt, dass eine Sicherheitslücke es Angreifern ermöglichte, Login-Portale seiner Lernplattform Canvas zu verändern und dort eine Erpressungsnachricht zu hinterlassen. Nach Informationen von BleepingComputer kamen beim Einbruch wie auch bei den Defacements mehrere Cross-Site-Scripting-Schwachstellen (XSS) zum Einsatz, über die sich der Angreifer authentifizierte Administrator-Sitzungen verschaffte. Canvas ist ein weltweit an Schulen und Universitäten verbreitetes Learning-Management-System (LMS), mit dem Aufgaben und Kursarbeiten verwaltet werden. Der zweite Angriff diente laut BleepingComputer dazu, Aufmerksamkeit zu erzeugen und Instructure nach einem zuvor bekannt gewordenen ersten Einbruch zu Lösegeldverhandlungen zu drängen. Verantwortlich ist die Gruppe ShinyHunters, die das Unternehmen auf ihrer Leak-Seite auflistete und behauptet, mehr als 3,6 Terabyte unkomprimierter Daten erbeutet zu haben. Instructure entdeckte den Netzwerkeinbruch am 29. April, entzog dem Angreifer nach eigenen Angaben umgehend den Zugang, leitete eine Untersuchung ein und zog externe Forensik-Experten hinzu. Wenige Tage später bestätigte das Unternehmen den Datenabfluss.

Den zweiten Einbruch verübte ShinyHunters laut BleepingComputer am 7. Mai – unter Ausnutzung derselben Schwachstelle wie beim ersten Vorfall. Die Gruppe schleuste schädliches JavaScript ein, das XSS-Fehler in Funktionen für nutzergenerierte Inhalte ausnutzte. Dadurch erlangte sie Zugriff auf authentifizierte Administrator-Sitzungen und konnte privilegierte Aktionen ausführen.

In einer E-Mail an BleepingComputer bestätigte Instructure, dass das ausgenutzte Sicherheitsproblem die Umgebung „Free-for-Teacher" betraf – die kostenlose, eingeschränkte Variante von Canvas LMS für einzelne Lehrkräfte. „Der unbefugte Akteur nahm Änderungen an den Seiten vor, die einigen Studierenden und Lehrkräften beim Login über Canvas angezeigt wurden", erklärte das Unternehmen.

Nach eigenen Angaben nahm Instructure Canvas vorübergehend offline, um die Ausbreitung der schädlichen Aktivität zu verhindern, die Ursache zu ermitteln und zusätzliche Schutzmaßnahmen einzurichten. ShinyHunters nutzte die Lücke, um eine Nachricht auf den Canvas-Login-Portalen zu platzieren, in der dem Unternehmen und den Schulen, die die Plattform einsetzen, eine Frist bis zum 12. Mai gesetzt wurde, um Kontakt aufzunehmen und über ein Lösegeld zu verhandeln.

Die „Free-for-Teacher"-Konten hat Instructure bis zur Behebung der Probleme abgeschaltet. Canvas selbst ist seit dem 9. Mai wiederhergestellt und nutzbar.

Beim Defacement der Login-Portale wurden nach Darstellung keine Daten kompromittiert. Die beim ersten Einbruch von ShinyHunters abgezogenen Daten umfassen hingegen vermutlich Benutzernamen, E-Mail-Adressen, Kursbezeichnungen, Anmeldeinformationen zu Kursen sowie Nachrichten.

Nach Angaben von ShinyHunters betrifft der Vorfall 8.809 Bildungseinrichtungen – Schulen, Universitäten, Hochschulen und Online-Plattformen. Die Angreifer behaupten, 275 Millionen Datensätze von Studierenden, Lehrkräften und weiterem Personal entwendet zu haben.

Instructure bestätigt: XSS-Lücke in Canvas für Erpressung und Portal-Defacements ausgenutzt

Ähnliche Artikel

Neueste Artikel