Geen fout in Moodle, wel misbruik van oude wachtwoorden

Allereerst: er is geen kwetsbaarheid in Moodle zelf! Wat er gebeurt, is dat kwaadwillenden proberen in te loggen op een zelden gebruikte beheerderspagina, met wachtwoorden die via andere datalekken op het internet zijn buitgemaakt. Ze testen of gebruikers op meerdere plekken hetzelfde wachtwoord gebruiken. Dat is een bekende en helaas vaak effectieve methode. Het gaat dus niet om een lek in Moodle, maar om misbruik van eerder gestolen gegevens. Het is een veelvoorkomende dreiging op het internet en treft allerlei systemen, niet alleen Moodle.

Avetica voert updates uit, jij zorgt voor sterk wachtwoordbeleid

Als jouw Moodle site wordt gehost en beheerd door Avetica, kun je erop rekenen dat wij onze systemen actief monitoren en beveiligingsupdates regelmatig en zorgvuldig worden doorgevoerd. Daarmee is de basis goed geregeld. Naar aanleiding van de melding hebben wij zelf ook onderzoek gedaan op onze systemen. In onze logs zagen we dat meerdere servers benaderd werden door enkele verdachte IP-adressen, afkomstig uit Singapore en Jakarta. Uit de loganalyse blijkt dat geen van de pogingen succesvol is geweest. Er zijn geen geslaagde statuscodes aangetroffen. De betreffende IP-adressen zijn inmiddels geblokkeerd in de firewall.

Ook als sitebeheerder kun je een aantal eenvoudige stappen nemen om jouw Moodle-omgeving nog beter te beschermen:

1. Verander je beheerderswachtwoorden

Gebruik je een wachtwoord dat je ook elders hebt gebruikt? Verander het dan direct. Kies een sterk, uniek wachtwoord voor elk account. Dit geldt met name voor beheerders, maar ook andere gebruikers kunnen hiermee helpen om het systeem veiliger te houden.

2. Zet multi-factor authenticatie (MFA) aan

Moodle ondersteunt sinds versie 4.3 standaard MFA. Hiermee voeg je een extra controle toe bij het inloggen, bijvoorbeeld een tijdelijke code via e-mail. Zelfs als iemand jouw wachtwoord weet, komt diegene niet zomaar binnen. Wil je meer weten over MFA, lees dan dit artikel.

3. Beperk het installeren van plugins via de browser

Als je Moodle zelf host, is het verstandig om de mogelijkheid om plugins via de browser te installeren uit te schakelen. Dit voorkomt dat kwaadwillenden, met toegang tot een beheerdersaccount, ongewenste plugins installeren. Als onderdeel van ons informatiebeveiligingsbeleid staat deze mogelijkheid al jarenlang uitgeschakeld voor alle sites die wij als Avetica hosten. Onze klanten vragen via een ticket aan Customer Services om een plugin te installeren. Deze ticket wordt nog dezelfde dag opgepakt en de plugin wordt veilig geïnstalleerd.

Voor technisch beheerders die Moodle zelf hosten: de ‘verdachte’ activiteit is te herkennen aan pogingen om toegang te krijgen tot de pagina <jouw-moodle-site>/admin/tool/installaddon/index.php. Dit is een pagina die normaal nauwelijks gebruikt wordt. Zie je in de logs dat hier vaak toegang toe wordt gezocht? Schakel deze functie dan snel uit door ‘$CFG->disableupdateautodeploy = true‘ toe te voegen in de config.php.

Wanneer je ervoor kiest om de mogelijkheid tot het installeren van plugins via de browser uit te schakelen (zoals aangeraden), heeft dit een praktische impact: sitebeheerders kunnen dan niet meer zelfstandig plugins installeren via de browser. Wil je toch een plugin toevoegen of updaten? Dan moet dit voortaan via de technisch ICT beheerder of je hostingpartij verlopen. Dit verhoogt de veiligheid, maar vraagt ook om meer afstemming en geduld.

Samenvattend

De beveiliging van Moodle is niet in gevaar, maar een goed wachtwoordbeleid is en blijft essentieel. Net als bij andere online systemen is het belangrijk om geen wachtwoorden te hergebruiken en waar mogelijk extra beveiligingsmaatregelen te nemen, zoals MFA.

Bij Avetica houden we ontwikkelingen zoals deze scherp in de gaten en zorgen we dat jouw Moodle-omgeving veilig blijft. Heb je vragen of wil je hulp bij het instellen van MFA of andere beveiligingsmaatregelen? Neem gerust contact met ons op.

Het bericht Moodle ‘verdachte’ activiteiten: wat speelt er en wat kun jij doen? verscheen eerst op Avetica.

Wat is het proces?

In elk softwarepakket worden regelmatig kwetsbaarheden en bugs gevonden. Het maakt niet uit of de software open source (bijv. Moodle) is of closed source (bijv. Microsoft). Om die reden komen er nieuwe versies (updates) uit die je moet installeren. Bij open source software zoals Moodle is de broncode toegankelijk voor iedereen en dat heeft voor- en nadelen. Grote voordeel is dat iedere ontwikkelaar fouten in de software kan vinden en hiervan melding kan doen. Dit kan gelijk ook een nadeel zijn omdat de informatie over de gevonden fouten publiek toegankelijk is.

Moodle Tracker

Voor het meest gebruikte LMS ter wereld worden alle meldingen geregistreerd in de Moodle tracker. Meldingen worden beoordeeld en indien nodig direct opgelost. De opgeloste meldingen worden gecommuniceerd via deze pagina. Aan dit proces zie je dat het veilig houden van open source software goed werkt. Met name door de bijdrage van de wereldwijde Moodle community en het Moodle Partner netwerk.

Beveiligingsbeleid van Moodle

Om de twee maanden brengt Moodle updates uit waarin kwetsbaarheden en bugs zijn opgelost. Dit schema van updates (minor releases) wordt strak opgevolgd. Je kunt dit zien in dit overzicht. Twee keer per jaar brengt Moodle een geheel nieuwe versie uit (major release) en in oktober mogen we Moodle 4.5 verwachten.

Wat moet je nu doen?

Wat je moet doen, hangt af wie verantwoordelijk is voor de hosting. Als Avetica weten wij wanneer de nieuwe updates beschikbaar komen. Zodra een update verschijnt, gaan wij direct aan de slag met het bijwerken van de vele Moodle sites die wij hosten voor onze klanten. Elke twee maanden wordt jouw site dus zo snel mogelijk van een update voorzien.

Eigen of externe hosting

Host jij zelf je eigen Moodle site, dan is ons advies om de updates snel te installeren. Is de hosting uitbesteed aan een externe partij, dan is het zaak om de opdracht te geven updates altijd zo snel mogelijk uit te voeren. Het kan geen kwaad om te informeren wat hieromtrent het beleid is van jouw partij.

Met welke versie werk ik nu?

In je eigen Moodle site kun je als beheerder altijd vinden met welke versie je werkt. Je ziet dat terug onder Sitebeheer – Server – Omgeving.

Geen updates voor oudere versies van Moodle

Is jouw Moodle versie 4.0, 3.11 of lager? Dan zijn er geen updates meer beschikbaar omdat deze versies de status ‘einde levensduur’ hebben. Enige mogelijkheid en dringend advies is om snel te upgraden naar een nieuwe Moodle versie.

Meer weten over veiligheid in Moodle?

Misschien een open deur, maar bij de veiligheid van Moodle gaat het niet alleen om de software zelf. De server(s) waarop dit open source LMS draait moeten ook voorzien worden van updates en beveiliging.

Is de organisatie die verantwoordelijk is voor de hosting goed ingericht op informatiebeveiliging en AVG? Avetica beschikt over de ISO-27001 certificering en een ISAE 3000 rapportage. Daarin gaan wij veel verder dan de meeste Moodle hosting providers. Met meer dan 1.300.000 gebruikers in onze Moodle sites willen wij deze veiligheid ook garanderen.

Het bericht Beveiligingsbeleid van Moodle werkt! verscheen eerst op Avetica.