Спецпроекты

Безопасность Стратегия безопасности

Check Point: платформы для онлайн-обучения могут содержать серьезные уязвимости

Исследователи Check Point Research выявили серьезные уязвимости в плагинах, которые чаще всего используются для организации онлайн-обучения. Поскольку пандемия вынуждает людей по всему миру учиться и работать не выходя из дома, ведущие образовательные учреждения и компании из списка Fortune 500 используют системы управления обучением (LMS) для проведения онлайн-занятий. Исследователи Check Point Research обнаружили проблемы безопасности в трех основных плагинах WordPress, которые позволяют превратить любой веб-сайт WordPress в полнофункциональную LMS. Речь идет о плагинах LearnPress, LearnDash и LifterLMS. Эти уязвимости позволяют учащимся, а также пользователям, не прошедшим проверку личности, красть личную информацию, деньги или получать привилегии преподавателей.

Система управления обучением (LMS) –– хранилище, где собрана вся информация по онлайн-курсам, достижениям студентов, их статистике. Любой, кто имеет логин и пароль, может получить доступ к этой информации. Наиболее распространенным применением системы управления обучением является организация онлайн-обучения. Как правило, курсы загружаются в LMS, а дальше ими могут воспользоваться студенты. Поскольку миллионы людей регистрируются на онлайн-курсах из дома из-за пандемии, академические учреждения и работодатели используют LMS, чтобы создавать группы, проводить занятия, принимать курсовые работы, зачислять и оценивать студентов.

Недостатки безопасности были обнаружены в плагинах LearnPress, LearnDash и LifterLMS. Любой из этих трех плагинов может превратить любой веб-сайт WordPress в полнофункциональную и простую в использовании систему управления обучением. Эти три плагина используются компаниями из списка Fortune 500 и некоторыми из ведущих университетов мира, включая Университет Флориды, Университет Мичигана, Университет Вашингтона. В целом они установлены примерно на 100 тыс. различных образовательных платформ.

LearnPress: плагин, с помощью которого можно создать курсы с уроками и тестами, которые можно давать по мере того, как учащиеся продвигаются по учебной программе. Один из лучших плагинов WordPress для создания образовательных проектов, его используют более чем 21 тыс. школ; всего его установили около 80 тыс. раз.

LearnDash: простой, но функциональный плагин, который предоставляет инструменты для продажи курсов, оценивания учащихся и возможности для взаимодействия студентов. Более 33 тыс. веб-сайтов используют LearnDash, в том числе многие компании из списка Fortune 500, а также Университет Флориды, Университет Мичигана и Университет Вашингтона.

LifterLMS: Плагин, который предоставляет примеры курсов, образцы тестов, сертификаты и полностью настроенный веб-сайт. Этот плагин используют более 17 тыс. сайтов, включая агентства WordPress и преподавателей, а также различные школьные и образовательные учреждения.

Эти уязвимости позволяют студентам, а также не прошедшим проверку личности пользователям получать конфиденциальную информацию и / или контролировать всю платформу электронного обучения. В частности, любой может использовать недостатки безопасности, чтобы: украсть личную информацию: электронные письма, имена пользователей и пароли; перечислять деньги из системы управления обучением на свои банковские счета; изменять свои оценки; изменять оценки других студентов; подделывать сертификаты; получить ответы к тестам; повышать свои привилегии до уровня учителя.

Уязвимости были обнаружены в марте 2020 г.: исследователи Check Point передали информацию по каждой уязвимости соответствующим разработчикам. Все три системы исправили уязвимости, которые назвали CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 и CVE-2020-6011.

Руководитель группы по исследованию уязвимостей Check Point Омри Гершкович сказал: «Из-за пандемии коронавируса мы вынуждены работать и учиться дома. Студенты и сотрудники, которые регулярно пользуются сайтами электронного обучения, вероятно, не знают, насколько они могут быть опасны. Мы доказали, что хакеры могут легко взять под контроль всю платформу электронного обучения. Ведущие учебные заведения, а также многие онлайн-академии опираются на системы, которые мы исследовали, чтобы организовывать онлайн-обучение. Обнаруженные уязвимости позволяют учащимся, а иногда даже пользователям, которые не прошедшим проверку личности, получать конфиденциальную информацию или контролировать платформы LMS. Мы призываем все учебные заведения, которые используют эти плагины, обновлять их до последних версий».

Короткая ссылка