Wichtiger Sicherheitshinweis für unsere Moodle Hosting Kunden
Liebe Leser,
seit einiger Zeit kommt es immer wieder zu bösartigen Angriffen auf Moodle-Umgebungen. Die Attacken sind dabei nicht auf Sicherheitslücken im System zurückzuführen, sondern sind externer Natur. Wie die Angreifer vorgehen und wie Sie sich optimal vor diesen Attacken schützen können, erfahren Sie in diesem Beitrag.
Wie werden die Moodle-Umgebungen angegriffen?
Zahlreiche Betreiber*innen von Moodle Plattformen haben in letzter Zeit berichtet, dass sehr viele Anmeldeversuche auf einer selten genutzten Administrationsseite stattfinden. Wahrscheinlich ist der Übeltäter ein bösartiges Botnetz, das dazu eine große Datenbank mit gestohlenen Zugangsdaten nutzt, die meist im Zuge von Datenlecks akquiriert werden. Diese Zugangsdaten werden dann in dem Login-Bereich von Moodle-Umgebungen eingegeben, um zu testen, ob sie dort auch für Admin-Zugänge verwendet werden.
Grundsätzlich handelt es sich bei dieser Art von Attacke um nichts Ungewöhnliches. Was die Angriffe in diesem Fall so gefährlich macht, ist die hohe Anzahl an Anmeldeversuchen. Es gibt Hinweise darauf, dass das Botnetz Zugriff zur Moodle-Umgebung erlangen möchte, um dort ein Plugin zu installieren. Es ist aber möglich, dass auch andere bösartige Aktivitäten stattfinden.
Von den Angriffen sind alle Moodle-Umgebungen betroffen, bei denen die Moodle-Authentifizierung manuell stattfindet. Für Nutzer*innen, die eine SSO-Integration zur Anmeldung nutzen, gilt dieses Risiko vermutlich nicht. Allerdings wird auch in diesem Fall eine zusätzliche Absicherung der Moodle Umgebung empfohlen.
Wie bereits erwähnt, handelt es sich dabei um keine direkte Sicherheitslücke in Moodle oder im Code des Systems. Das Problem entsteht dadurch, dass aufgrund von Datenlecks sehr viele gestohlene Zugangsdaten im Internet verfügbar sind. Theoretisch können diesen Angriffen daher alle Systeme zum Opfer fallen, die eine Anmeldung mit Benutzername und Passwort voraussetzen. Wenn Nutzer*innen identische Zugangsdaten auf mehreren Seiten verwenden, dann sind alle diese Systeme in Gefahr, sobald das Passwort bekannt wird.
Wie kann ich meine Moodle-Umgebung vor diesen Angriffen schützen?
Um Ihre Moodle-Umgebung optimal vor Attacken dieser Art abzusichern, raten wir Ihnen zu den folgenden Maßnahmen:
- Ändern Sie sofort sämtliche Admin-Passwörter. Auf diese Weise stellen Sie sicher, dass gestohlene Zugangsdaten, die ebenfalls für die Moodle-Umgebung verwendet werden, nicht mehr funktionieren. Zusätzlich können Sie auch die Passwörter aller anderen Nutzer*innen zurücksetzen und eine hohe und damit sichere Passwortkomplexität in den Admin-Einstellungen verpflichtend festlegen. Weitere Informationen zur Passwortsicherheit erhalten Sie in unserem FAQ Beitrag „Wie man ein sicheres Passwort erstellt“.
- Aktivieren Sie die Multi-Faktor-Authentifikation (MFA). Auf diese Weise können Sie den unbefugten Zugriff auf Ihre Moodle-Umgebung selbst dann verhindern, wenn die korrekten Zugangsdaten benutzt wurden. Denn dann müssen sich die Nutzer*innen noch zusätzlich über einen Code authentifizieren, den sie beispielsweise per Mail oder SMS erhalten.
- Deaktivieren Sie die webbasierte Installation von Plugins. So können Sie verhindern, dass mithilfe von Admin-Zugangsdaten bösartige Plugins aktiviert oder installiert werden können. Dazu muss der folgende Befehl in die config.php Datei eingefügt werden: $CFG->disableupdateautodeploy = true;
Wie kann ich erkennen, ob meine Moodle-Umgebung von den Angriffen betroffen ist?
Glücklicherweise lässt sich sehr leicht feststellen, ob Angriffsversuche auf Ihre Moodle-Umgebung unternommen wurden. Suchen Sie in den Web-Logs dazu nach Zugriffen auf den folgenden Pfad: /admin/tool/installaddon/index.php
Dabei handelt es sich um die Seite, die vom Botnetz aufgerufen werden soll. Bei Produktivumgebungen von Moodle wird diese Seite so gut wie nie genutzt. Jeder Zugriff auf diese Seite sollte daher genau überprüft werden.
Da diese Art von Angriffen im Internet keine Seltenheit ist, ist eine gute Passwortsicherheit unerlässlich. Wir raten Ihnen daher dringend, die von uns empfohlenen Maßnahmen für ein sicheres Passwort Management umzusetzen. Wenn Sie Unterstützung bei der Implementierung dieser Maßnahmen benötigen, dann helfen wir Ihnen im Zuge unserer Moodle Support Angebote selbstverständlich gerne weiter. Nehmen Sie dazu einfach per Mail oder telefonisch Kontakt zu uns auf. Unsere Moodle-Experten stehen Ihnen mit Rat und Tat zur Seite!
Wir werden die Situation selbstverständlich weiter beobachten und Sie darüber in Kenntnis setzen, wenn uns neue Informationen vorliegen.