Netanel Rubin นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่บน Moodle ระบบ CMS สำหรับบริหารจัดการ e-Learning ยอดนิยม ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเว็บไซต์โดยมีสิทธิ์เป็น Admin รวมไปถึงลอบส่งโค้ด PHP เข้ามารันบน Web Server ได้ แนะนำให้สถานศึกษารีบอัปเดตแพทช์โดยทันที
Moodle เป็นแพลตฟอร์ม Open-source สำหรับให้บริการเว็บไซต์แบบ e-Learning ที่นักศึกษาและคณาจารย์สามารถเชื่อมต่อหากันได้ ส่งผลให้เป็นแพลตฟอร์มที่มหาวิทยาลัย โรงเรียน และสถานศึกษาจากทั่วโลกนิยมใช้ ปัจจุบันนี้มีเว็บไซต์ E-Learning ที่เบื้องหลังเป็น Moodle รวมแล้วมากกว่า 78,000 เว็บจาก 234 ประเทศทั่วโลก และมีผู้ใช้มากกว่า 100 ล้านคน
สัปดาห์ที่ผ่านมา Moodle ได้ออกแพทช์ใหม่สำหรับแพลตฟอร์มหลายเวอร์ชัน ได้แก่ 3.2.2, 3.1.5, 3.0.9 และ 2.7.19 โดยระบุใน Release Note ว่า ได้ทำการแก้ไขปัญหาด้านความมั่นคงปลอดภัยหลายรายการ แต่ไม่ได้ระบุรายละเอียดแต่อย่างใด ส่งผลให้ Rubin ทำการตรวจสอบแพทช์ดังกล่าว และค้นพบช่องโหว่หลายรายการ ถึงแม้ว่าช่องโหว่เหล่านั้นจะไม่ได้มีความรุนแรงมากนัก แต่เมื่อนำมารวมกับกลับช่วยให้แฮ็คเกอร์สามารถสร้างบัญชีระดับ Admin แบบลับๆ และลอบส่งโค้ด PHP เข้ามารันบน Web Server ได้
Rubin ระบุใน Blog ของเขาว่า ช่องโหว่ที่ค้นพบส่วนใหญ่เกิดจากสมมติฐานที่ผิดพลาดของนักพัฒนา ไม่ว่าจะเป็นตรรกะที่มีช่องโหว่, Object Injection, Double SQL Injection และ Dashboard บริหารจัดการที่มีสิทธิ์มากเกินไป ซึ่งตรรกะที่ผิดพลาดนี้เกิดจากการเขียนฟังก์ชันใหม่โดยไม่สนใจการตัดสินใจของฟังก์ชันเดิมที่นักพัฒนาคนอื่นได้ทำไว้ ส่งผลให้ Moodle มีโค้ดมากเกินไป นักพัฒนาที่มากเกินความต้องการ แต่กลับขาดการจัดทำเอกสาร
อย่างไรก็ตาม ถือว่ายังพอโชคดีที่การเจาะช่องโหว่แฮ็คเกอร์จำเป็นต้องมีบัญชีและพิสูจน์ตัวตนเข้าไปก่อน แต่อย่าลืมว่า Moodle เป็นเว็บสำหรับคณาจารย์และนักศึกษาที่มีผู้ใช้ลงทะเบียนเป็นจำนวนมาก การปลอมเป็นนักศึกษาหรือขโมยบัญชีไม่ใช่เรื่องยากเกินความสามารถของแฮ็คเกอร์แต่อย่างใด วิธีการที่ดีที่สุดคือการอัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่
อ่านรายละเอียดช่องโหว่เชิงเทคนิค: http://netanelrub.in/2017/03/20/moodle-remote-code-execution/