Спецпроекты

Check Point: платформы для онлайн-обучения могут содержать серьезные уязвимости

Безопасность Техническая защита

Исследователи Check Point Research выявили серьезные уязвимости в плагинах, которые чаще всего используются для организации онлайн-обучения. Поскольку пандемия вынуждает людей по всему миру учиться и работать не выходя из дома, ведущие образовательные учреждения и компании из списка Fortune 500 используют системы управления обучением (LMS) для проведения онлайн-занятий. Исследователи Check Point Research обнаружили проблемы безопасности в трех основных плагинах WordPress, которые позволяют превратить любой веб-сайт WordPress в полнофункциональную LMS. Речь идет о плагинах LearnPress, LearnDash и LifterLMS. Эти уязвимости позволяют учащимся, а также пользователям, не прошедшим проверку личности, красть личную информацию, деньги или получать привилегии преподавателей.

Система управления обучением (LMS) –– хранилище, где собрана вся информация по онлайн-курсам, достижениям студентов, их статистике. Любой, кто имеет логин и пароль, может получить доступ к этой информации. Наиболее распространенным применением системы управления обучением является организация онлайн-обучения. Как правило, курсы загружаются в LMS, а дальше ими могут воспользоваться студенты. Поскольку миллионы людей регистрируются на онлайн-курсах из дома из-за пандемии, академические учреждения и работодатели используют LMS, чтобы создавать группы, проводить занятия, принимать курсовые работы, зачислять и оценивать студентов.

Недостатки безопасности были обнаружены в плагинах LearnPress, LearnDash и LifterLMS. Любой из этих трех плагинов может превратить любой веб-сайт WordPress в полнофункциональную и простую в использовании систему управления обучением. Эти три плагина используются компаниями из списка Fortune 500 и некоторыми из ведущих университетов мира, включая Университет Флориды, Университет Мичигана, Университет Вашингтона. В целом они установлены примерно на 100 000 различных образовательных платформ.

LearnPress: плагин, с помощью которого можно создать курсы с уроками и тестами, которые можно давать по мере того, как учащиеся продвигаются по учебной программе. Один из лучших плагинов WordPress для создания образовательных проектов, его используют более чем 21 000 школ; всего его установили около 80 000 раз.

LearnDash: простой, но функциональный плагин, который предоставляет инструменты для продажи курсов, оценивания учащихся и возможности для взаимодействия студентов. Более 33 000 веб-сайтов используют LearnDash, в том числе многие компании из списка Fortune 500, а также Университет Флориды, Университет Мичигана и Университет Вашингтона.

LifterLMS: Плагин, который предоставляет примеры курсов, образцы тестов, сертификаты и полностью настроенный веб-сайт. Этот плагин используют более 17 000 сайтов, включая агентства WordPress и преподавателей, а также различные школьные и образовательные учреждения.

Эти уязвимости позволяют студентам, а также не прошедшим проверку личности пользователям получать конфиденциальную информацию и / или контролировать всю платформу электронного обучения. В частности, любой может использовать недостатки безопасности, чтобы украсть личную информацию: электронные письма, имена пользователей и пароли, перечислять деньги из системы управления обучением на свои банковские счета, изменять свои оценки, изменять оценки других студентов, подделывать сертификаты, получить ответы к тестам, повышать свои привилегии до уровня учителя.

Уязвимости были обнаружены в марте 2020 года: исследователи Check Point передали информацию по каждой уязвимости соответствующим разработчикам. Все три системы исправили уязвимости, которые назвали CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 и CVE-2020-6011.

Руководитель группы по исследованию уязвимостей Check Point Омри Гершкович отметил: «Из-за пандемии коронавируса мы вынуждены работать и учиться дома. Студенты и сотрудники, которые регулярно пользуются сайтами электронного обучения, вероятно, не знают, насколько они могут быть опасны. Мы доказали, что хакеры могут легко взять под контроль всю платформу электронного обучения. Ведущие учебные заведения, а также многие онлайн-академии опираются на системы, которые мы исследовали, чтобы организовывать онлайн-обучение. Обнаруженные уязвимости позволяют учащимся, а иногда даже пользователям, которые не прошедшим проверку личности, получать конфиденциальную информацию или контролировать платформы LMS. Мы призываем все учебные заведения, которые используют эти плагины, обновлять их до последних версий».