Geen fout in Moodle, wel misbruik van oude wachtwoorden

Allereerst: er is geen kwetsbaarheid in Moodle zelf! Wat er gebeurt, is dat kwaadwillenden proberen in te loggen op een zelden gebruikte beheerderspagina, met wachtwoorden die via andere datalekken op het internet zijn buitgemaakt. Ze testen of gebruikers op meerdere plekken hetzelfde wachtwoord gebruiken. Dat is een bekende en helaas vaak effectieve methode. Het gaat dus niet om een lek in Moodle, maar om misbruik van eerder gestolen gegevens. Het is een veelvoorkomende dreiging op het internet en treft allerlei systemen, niet alleen Moodle.

Avetica voert updates uit, jij zorgt voor sterk wachtwoordbeleid

Als jouw Moodle site wordt gehost en beheerd door Avetica, kun je erop rekenen dat wij onze systemen actief monitoren en beveiligingsupdates regelmatig en zorgvuldig worden doorgevoerd. Daarmee is de basis goed geregeld. Naar aanleiding van de melding hebben wij zelf ook onderzoek gedaan op onze systemen. In onze logs zagen we dat meerdere servers benaderd werden door enkele verdachte IP-adressen, afkomstig uit Singapore en Jakarta. Uit de loganalyse blijkt dat geen van de pogingen succesvol is geweest. Er zijn geen geslaagde statuscodes aangetroffen. De betreffende IP-adressen zijn inmiddels geblokkeerd in de firewall.

Ook als sitebeheerder kun je een aantal eenvoudige stappen nemen om jouw Moodle-omgeving nog beter te beschermen:

1. Verander je beheerderswachtwoorden

Gebruik je een wachtwoord dat je ook elders hebt gebruikt? Verander het dan direct. Kies een sterk, uniek wachtwoord voor elk account. Dit geldt met name voor beheerders, maar ook andere gebruikers kunnen hiermee helpen om het systeem veiliger te houden.

2. Zet multi-factor authenticatie (MFA) aan

Moodle ondersteunt sinds versie 4.3 standaard MFA. Hiermee voeg je een extra controle toe bij het inloggen, bijvoorbeeld een tijdelijke code via e-mail. Zelfs als iemand jouw wachtwoord weet, komt diegene niet zomaar binnen. Wil je meer weten over MFA, lees dan dit artikel.

3. Beperk het installeren van plugins via de browser

Als je Moodle zelf host, is het verstandig om de mogelijkheid om plugins via de browser te installeren uit te schakelen. Dit voorkomt dat kwaadwillenden, met toegang tot een beheerdersaccount, ongewenste plugins installeren. Als onderdeel van ons informatiebeveiligingsbeleid staat deze mogelijkheid al jarenlang uitgeschakeld voor alle sites die wij als Avetica hosten. Onze klanten vragen via een ticket aan Customer Services om een plugin te installeren. Deze ticket wordt nog dezelfde dag opgepakt en de plugin wordt veilig geïnstalleerd.

Voor technisch beheerders die Moodle zelf hosten: de ‘verdachte’ activiteit is te herkennen aan pogingen om toegang te krijgen tot de pagina <jouw-moodle-site>/admin/tool/installaddon/index.php. Dit is een pagina die normaal nauwelijks gebruikt wordt. Zie je in de logs dat hier vaak toegang toe wordt gezocht? Schakel deze functie dan snel uit door ‘$CFG->disableupdateautodeploy = true‘ toe te voegen in de config.php.

Wanneer je ervoor kiest om de mogelijkheid tot het installeren van plugins via de browser uit te schakelen (zoals aangeraden), heeft dit een praktische impact: sitebeheerders kunnen dan niet meer zelfstandig plugins installeren via de browser. Wil je toch een plugin toevoegen of updaten? Dan moet dit voortaan via de technisch ICT beheerder of je hostingpartij verlopen. Dit verhoogt de veiligheid, maar vraagt ook om meer afstemming en geduld.

Samenvattend

De beveiliging van Moodle is niet in gevaar, maar een goed wachtwoordbeleid is en blijft essentieel. Net als bij andere online systemen is het belangrijk om geen wachtwoorden te hergebruiken en waar mogelijk extra beveiligingsmaatregelen te nemen, zoals MFA.

Bij Avetica houden we ontwikkelingen zoals deze scherp in de gaten en zorgen we dat jouw Moodle-omgeving veilig blijft. Heb je vragen of wil je hulp bij het instellen van MFA of andere beveiligingsmaatregelen? Neem gerust contact met ons op.

Het bericht Moodle ‘verdachte’ activiteiten: wat speelt er en wat kun jij doen? verscheen eerst op Avetica.

Multi-factor (MFA), ook wel two-factor (2FA) authenticatie genoemd, is een extra stap of laag in het authenticatie proces van de gebruiker. Ben jij wie je bent bij het inloggen in een site? Om zeker te weten dat de echte persoon achter een account inlogt, wordt steeds vaker multi-factor authenticatie gebruikt. Na het invoeren van je gebruikersnaam en wachtwoord krijg je nog een sms-je met een code of moet je een QR-code scannen. Hiermee wordt de veiligheid verhoogd. Als je account namelijk gehackt is, kan de hacker niet zomaar inloggen want hij komt niet door de tweede authenticatie heen.

Er zijn meerdere stappen of lagen van authenticatie, vandaar de term multi-factor authenticatie (MFA)of two-factor authentication (2FA).

De volgende methodes kunnen gebruikt worden bij multi-factor authenticatie:

• Time-base One Time Password (TOTP); Bijvoorbeeld met Google Authenticator die een code genereert die maar korte tijd geldig is
• Eenmalige code via SMS
• Eenmalige code via e-mail
• Beveiligingsvraag; bijvoorbeeld: in welke plaats ben je geboren?

Moodle plugin tool MFA

In de standaard versies van Moodle LMS & Workplace zit op dit moment geen multi-factor authenticatie, maar in de plugin database is wel de tool MFA te vinden. Daar staat overigens dat deze plugin tot en met versie 3.8 is bijgewerkt, maar hij wordt achter de schermen nog steeds bijgewerkt door de ontwikkelaar. Omdat de vraag van prospects en klanten naar multi-factor authenticatie toeneemt hebben wij de plugin onderzocht en getest. Wij hebben de plugin werkend gekregen in een Moodle 3.11 site. Maar… gelijk een waarschuwing:

Hoe werkt tool MFA?

De tool zelf is geen authenticatieplugin maar voegt een extra laag toe aan je geselecteerde authenticatiemethode. Stel je hebt gebruikers via een CSV geüpload, dan krijgen ze de authenticatiemethode ‘Manuele accounts’. Deze methode laat je gewoon actief en voegt daarnaast in de tool MFA de ‘TOTP’ methode toe als tweede authenticatiefactor. Een gebruiker krijgt na het invoeren van de gebruikersnaam en wachtwoord nu nog een extra scherm om een tijdelijke code in te voeren die bijvoorbeeld door de Google Authenticator app is gegenereerd.

In de tool MFA kun je één of meerdere lagen toevoegen. Aan elke laag kun je een ‘Factor gewicht’ toekennen. Heeft de eerste laag een gewicht van 100 en lukt het de gebruiker om daaraan te voldoen is de authenticatie succesvol en ben je ingelogd. Je kunt er dus ook een driestap-authenticatie van maken. Stel TOTP in op 50 punten en een beveiligingsvraag op 50 punten. n dat geval moet de gebruiker 3 zaken invoeren. (gebruikersnaam/wachtwoord, TOTP en beveiligingsvraag).

Meer informatie kan je vinden in de documentatie van deze plugin.

Uitzonderingen mogelijk met multi-factor authenticatie?

Is multi-factor authenticatie in alle gevallen noodzakelijk? Nee, niet altijd. Er zijn situaties waarop je geen extra authenticatie wilt vragen aan je gebruikers bij het inloggen. Denk bijvoorbeeld aan:

• Rol gebaseerd; als je geen sitebeheerder ben (dus alleen sitebeheerders moeten wel MFA gebruiken)
• Authenticatie gaat via een ander Identity Hub, bijvoorbeeld met SAML2, OAuth2 of OpenID
• IP-range; vanaf bepaalde IP-adressen geen extra authenticatie (bijvoorbeeld vanaf kantoor)

In de tool is het mogelijk om deze uitzonderingen toe te voegen.

Hulp bij configuratie?

De kans dat je niet meer in je eigen site kan inloggen als je tool MFA niet goed configureert is zeker aanwezig. Probeer dit dus niet zomaar uit in een productiesite, maar altijd in een testsite. Wij hebben expertise bij het goed instellen van multi-factor authenticatie in Moodle en kunnen ook advies geven wat het beste is in jouw situatie. Neem contact op als je hierbij geholpen wilt worden.

Het bericht Multi-factor authenticatie in Moodle werkt, maar…. verscheen eerst op Avetica.