Дослідники з питань безпеки висловлюють занепокоєння через щойно виявлені уразливості у деяких популярних плагінах для систем онлайн-навчання (LMS), які різні організації та університети використовують, щоб пропонувати онлайн-курси навчання через свої веб-сайти на базі WordPress. Про це пише TheHackerNews.
За даними дослідницької команди Check Point, у трьох розглянутих плагінах WordPress – LearnPress, LearnDash та LifterLMS – є недоліки безпеки, які можуть дозволити студентам, а також неавторизованим користувачам, викрадати особисту інформацію зареєстрованих користувачів і навіть отримувати привілеї викладача.
“Через епідемію коронавірусу ми робимо все, що є, “на дому”, включаючи наше офіційне навчання”, – сказала Омрі Херсковічі з Check Point Research. “Виявлені вразливості дозволяють студентам, а іноді навіть неаутентифікованим користувачам отримувати конфіденційну інформацію або контролювати LMS-платформи.”
Три уразливі системи LMS встановлені приблизно на 100 000 різних навчальних платформах, включаючи великі університети, такі як Університет Флориди, університет Мічиган та Вашингтонський університет. Тільки LearnPress та LifterLMS завантажено понад 1,6 мільйона разів з моменту їх запуску.
LMS допомагають організовувати навчання в Інтернеті за допомогою програмного забезпечення, яке дозволяє академічним установам та роботодавцям створювати навчальні програми для курсів, ділитися курсовими роботами, зараховувати /відраховувати студентів та оцінювати студентів за допомогою тестів. Плагіни, такі як LearnPress, LearnDash та LifterLMS, спрощують їх, адаптуючи будь-який веб-сайт WordPress до повноцінно функціонуючої та простої у використанні LMS.
Недоліки в LearnPress варіюються від сліпого введення SQL (CVE-2020-6010) до ескалації привілеїв (CVE-2020-11511), що може дозволити будь-якому користувачеві отримати роль викладача.
“Несподівано, код не перевіряє дозволу запитуючого користувача, тому дозволяє будь-якому студенту викликати цю функцію”, – заявили дослідники.
LearnDash також страждає від вад ін’єкції SQL (CVE-2020-6009), який дозволяє противнику виправити шкідливий запит SQL, використовуючи симулятор сервісу повідомлень PayPal Instant Payment Notification (IPN), щоб запустити фальшиві транзакції з реєстрації курсу. Нарешті, довільна уразливість запису файлів LifterLMS (CVE-2020-6008) використовує динамічний характер додатків PHP, що дозволяє, щоб зловмисник, наприклад, студент, зареєстрований на певний курс, міняв своє ім’я профілю на шкідливий фрагмент коду PHP. Загалом, недоліки дозволяють зловмисникам красти особисту інформацію (імена, електронні листи, імена користувачів, паролі тощо), а студентам змінювати оцінки, заздалегідь отримувати тести та тестові відповіді, а також підробляти сертифікати.
“Платформи передбачають оплату, тому фінансові схеми також застосовуються у разі зміни веб-сайту без інформації про хостинг та адміністраторів “, – попередили дослідники.
Check Point Research зазначив, що вразливості були виявлені наприкінці березня і про них проінформували виробників платформ. Всі три системи LMS з тих пір випустили патчі для вирішення проблем. Користувачам рекомендується оновитися до останніх версій цих плагінів.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ
ЯК КОРИСТУВАТИСЯ WHATSAPP З ДВОХ НОМЕРІВ? ІНСТРУКЦІЯ ДЛЯ ANDROID
ЯК БЕЗПЕЧНО КУПУВАТИ ВЖИВАНУ ТЕХНІКУ? ПОРАДИ
ЯК НАЛАШТУВАТИ СПІЛЬНЕ ВИКОРИСТАННЯ ФАЙЛІВ В ICLOUD? – ІНСТРУКЦІЯ
ЯК ВИКОНАТИ РЕЗЕРВНЕ КОПІЮВАННЯ ДАНИХ НА ПРИСТРОЯХ IOS ТА ANDROID? – ІНСТРУКЦІЯ
До речі, представники кіберзлочинної спільноти розповіли виданню CyberNews про шахрайську схему з Facebook і PayPal, що приносить $1,6 млн доходу на місяць. Відмінною рисою цієї схеми є те, що жертва сама добровільно переводить гроші шахраям.
Стало відомо, що Xiaomi офіційно анонсувала нову версію фірмової оболонки MIUI 12 на базі Android 10 на честь 10-річчя від дня заснування свого бренду. Нова версія MIUI отримала візуальні зміни, а також безліч нових анімацій, покращений темний режим і більш детальні налаштування конфіденційності тощо.
Зверніть увагу, що більшість користувачів вважають, що використання складного PIN-коду та біометричних даних забезпечує всебічний захист месенджерів. Однак після інфікування телефона Джеффа Безоса, засновника інтернет-компанії Amazon, за допомогою шкідливого відео, яке було надіслане через WhatsApp, серед користувачів постало питання безпеки смартфона та захисту цього додатку.
Facebook випустила додаток для відеодзвінків Messenger Rooms, що дозволяє додавати в віртуальну кімнату до 50 осіб. У своєму блозі компанія особливо підкреслила безпеку Messenger Rooms. Але це не зовсім так.
Дезінформація про коронавірус “затоплює” Інтернет. Експерти закликають громадськість практикувати “гігієну інформації”. Ми зібрали поради того, що Ви можете зробити, щоб зупинити поширення фейків і паніки в Мережі.
В глобальній Мережі з’явилася інформація про нову операційну систему Windows 20, реліз якої може статися вже в кінці цього року, або ж на початку наступного. Новітня платформа містить у собі масу відмінностей від доступної зараз, тому вона гарантовано всіх порадує.