Они могут содержать серьезные уязвимости
Из-за пандемии коронавируса все больше студентов учатся дома. Исследовательская группа Check Point Research обнаружила уязвимости в тех плагинах, которые чаще всего используют для онлайн-обучения ведущие компании и университеты
- Недостатки безопасности были выявлены в трех основных плагинах WordPress: LearnPress, LearnDash и LifterLMS
- Студенты, а также пользователи, которые не подтвердили свою личность, могли использовать уязвимости для кражи личной информации, денег и получения привилегий преподавателей
- Подобные плагины используются ведущими университетами и крупными организациями: Университетом Флориды, Университетом Мичигана, Университетом Вашингтона и другими крупными образовательными платформами.
Поскольку пандемия вынуждает людей по всему миру учиться и работать не выходя из дома, ведущие образовательные учреждения и компании из списка Fortune 500 используют системы управления обучением (LMS) для проведения онлайн-занятий. Исследователи Check Point Research обнаружили проблемы безопасности в трех основных плагинах WordPress, которые позволяют превратить любой веб-сайт WordPress в полнофункциональную LMS. Речь идет о плагинах LearnPress, LearnDash и LifterLMS. Эти уязвимости позволяют учащимся, а также пользователям, не прошедшим проверку личности, красть личную информацию, деньги или получать привилегии преподавателей.
Что такое система управления обучением
Система управления обучением (LMS) –– хранилище, где собрана вся информация по онлайн-курсам, достижениям студентов, их статистике. Любой, кто имеет логин и пароль, может получить доступ к этой информации.
Наиболее распространенным применением системы управления обучением является организация онлайн-обучения. Как правило, курсы загружаются в LMS, а дальше ими могут воспользоваться студенты. Поскольку миллионы людей регистрируются на онлайн-курсах из дома из-за пандемии, академические учреждения и работодатели используют LMS, чтобы создавать группы, проводить занятия, принимать курсовые работы, зачислять и оценивать студентов.
Недостатки безопасности в плагинах WordPress
Недостатки безопасности были обнаружены в плагинах LearnPress, LearnDash и LifterLMS. Любой из этих трех плагинов может превратить любой веб-сайт WordPress в полнофункциональную и простую в использовании систему управления обучением. Эти три плагина используются компаниями из списка Fortune 500 и некоторыми из ведущих университетов мира, включая Университет Флориды, Университет Мичигана, Университет Вашингтона. В целом они установлены примерно на 100 000 различных образовательных платформ.
LearnPress: плагин, с помощью которого можно создать курсы с уроками и тестами, которые можно давать по мере того, как учащиеся продвигаются по учебной программе. Один из лучших плагинов WordPress для создания образовательных проектов, его используют более чем 21 000 школ; всего его установили около 80 000 раз.
LearnDash: простой, но функциональный плагин, который предоставляет инструменты для продажи курсов, оценивания учащихся и возможности для взаимодействия студентов. Более 33 000 веб-сайтов используют LearnDash, в том числе многие компании из списка Fortune 500, а также Университет Флориды, Университет Мичигана и Университет Вашингтона.
LifterLMS: Плагин, который предоставляет примеры курсов, образцы тестов, сертификаты и полностью настроенный веб-сайт. Этот плагин используют более 17 000 сайтов, включая агентства WordPress и преподавателей, а также различные школьные и образовательные учреждения.
Что могут позволить злоумышленникам найденные уязвимости
Эти уязвимости позволяют студентам, а также не прошедшим проверку личности пользователям получать конфиденциальную информацию и / или контролировать всю платформу электронного обучения. В частности, любой недоброжелатель или мошенник может использовать недостатки безопасности, чтобы:
- Украсть личную информацию: электронные письма, имена пользователей и пароли
- Перечислять деньги из системы управления обучением на свои банковские счета
- Изменять свои оценки
- Изменять оценки других студентов
- Подделывать сертификаты
- Получить ответы к тестам
- Повышать свои привилегии до уровня учителя
Ответственное раскрытие
Уязвимости были обнаружены в марте 2020 года: исследователи Check Point передали информацию по каждой уязвимости соответствующим разработчикам. Все три системы исправили уязвимости, которые назвали CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 и CVE-2020-6011.
Руководитель группы по исследованию уязвимостей Check Point Омри Гершкович говорит: «Из-за пандемии коронавируса мы вынуждены работать и учиться дома. Студенты и сотрудники, которые регулярно пользуются сайтами электронного обучения, вероятно не знают, насколько они могут быть опасны. Мы доказали, что хакеры могут легко взять под контроль всю платформу электронного обучения. Ведущие учебные заведения, а также многие онлайн-академии опираются на системы, которые мы исследовали, чтобы организовывать онлайн-обучение. Обнаруженные уязвимости позволяют учащимся, а иногда даже пользователям, не прошедшим проверку личности, получать конфиденциальную информацию или контролировать платформы LMS. Мы призываем все учебные заведения, которые используют эти плагины, обновлять их до последних версий».
О компании
Check Point Software Technologies Ltd. является ведущим поставщиком решений по кибербезопасности для государственных и частных компаний. Благодаря самой высокой в индустрии скорости обнаружения вредоносного ПО, решения Check Point защищают от продвинутых кибератак Пятого поколения, программ-вымогателей и других видов атак. Check Point защищает более 100 000 организаций по всему миру.