Vulnerabilidad crítica en Moodle, plataforma de aprendizaje electrónico de código abierto empleada por 190 mil organizaciones en 246 países

Especialistas en ciberseguridad encontraron una vulnerabilidad crítica en Moodle, una popular plataforma de aprendizaje en línea. Acorde al reporte, la explotación exitosa de esta falla permitiría el acceso a la información de los estudiantes y los resultados de sus exámenes. Actualmente Moodle es empleado por más de 190 mil organizaciones en todo el mundo, incluyendo empresas e instituciones educativas como universidades o colegios.

La falla fue descrita como un error de inyección de objetos PHP en el módulo de autenticación Shibboleth, que permitiría a los actores de amenazas no autenticados ejecutar ataques de ejecución remota de código (RCE). Esta condición también permitiría a los hackers acceder a cualquier información resguardada en el servidor comprometido, incluyendo datos personales.

La falla fue reportada por Robin Peraglie y Johannes Moritz, especialistas en pentesting que anteriormente habían encontrado otras fallas en Moodle. Moritz menciona que la falla solamente reside en el servidor Moodle LMS, que cuenta con la autenticación Shibboleth habilitada; este módulo está inhabilitado por defecto, por lo que su habilitación puede representar serios inconvenientes para las organizaciones que usan Moodle, ya que puede verse expuesto a la ejecución de código arbitrario.

“Tal ataque resultaría en un compromiso total del servidor, además de exponer la filtración de datos de los usuarios. Un usuario malicioso también podría abusar de estas característica para obtener acceso de lectura/escritura a sus propios exámenes”, agrega Moritz. El investigador agrega que esta es una falla relativamente fácil de explotar, ya que existe en Internet una amplia disponibilidad de información sobre sitios web con Shibboleth habilitado.

Después de informar el problema y luego de un largo proceso de divulgación, la falla fue finalmente abordada. Este proceso requirió cuatro meses de evaluación y fallas, por lo que Moritz cree que esta falla no se trató con la prioridad requerida. Finalmente el investigador reveló la detección de una segunda falla crítica en el proceso de pre autenticación de Moodle. Esta falla ya ha sido corregida, aunque la información relacionada con este error será publicada cuando la compañía lo considere seguro.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).