محققان شرکت check point چندین باگ امنیتی بحرانی در پلاگین LMS وردپرس شناسایی نموده‌اند که منجربه در اختیار گرفتن کل سیستم می‌شود.

شناسه آسیب‌پذیری:

CVE-2020-6010, CVE-2020-11511, CVE-2020-6009, CVE-2020-6008

سطح ریسک:

CVE-2020-6010:

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Base Score: 8.8 High

CVE-2020-11511:

No CVSS available

CVE-2020-6009:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

CVE-2020-6008:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

نسخه‌های آسیب‌پذیری:

LearnPress Versions 3.2.6.7

LearnDash Version below 3.1.6

LifterLMS Version below 3.37.15

توضیحات:

با اکسپلویت این نقص در LearPress, LearnDash و LifterLMS دانش‌آموزان و کاربران احرازهویت نشده می‌توانند حفره‌های امنیتی را دور بزنند و اطلاعات شخصی و اطلاعات مالی کاربران را سرقت نمایند و همچنین می‌توانند به سطح دسترسی معلمان برسند. باگدشت در این صفحه به بررسی باگ امنیتی بحرانی پلاگین LMS می پردازد. دانش‌آموزان احرازهویت نشده به کمک این باگ می‌توانند حفره‌های امنیتی را دور بزنند و اطلاعات را سرقت نمایند

این آسیب‌پذیری یک باگ تزریق SQL از نوع Time-Based است که به راحتی قابل شناسایی و اکسپلویت است. متد _get_items از کلاس LP_Modal_Search_Items به تزریق کد SQL آسیب‌پذیر است. این متد در فیلتر کردن صحیح اطلاعات کاربر قبل از استفاده از آن در کوئری به درستی عمل نمی‌کند. یک کاربر احرازهویت شده می‌تواند با فراخوانی Ajax method learnpress_modal_search_items این آسیب‌پذیری را فعال کند که روند زیر اجرا می‌شود:

LP_Admin_Ajax::modal_search_itemsLP_Modal_Search_Items::get_itemsLP_Modal_Search_Items::_get_items.

در آسیب پذیری دیگر، تابع learn-press_accept_become_a_teacher را می‌توان برای ارتقا سطح دسترسی کاربر ثبت نام شده به سطح دسترسی معلم استفاده کرد. به شکل غیرمنتظره کدها سطح دسترسی کاربر درخواست دهنده را بررسی نمی‌کند و در نتیجه یک دانش‌اموز با فراخوانی این تابع می‌تواند در نرم‌افزار LMS معلم شود. این تابع وقتی که پلاگین مربوطه لود می‌شود، فعال می‌گردد. به این معنی که به راحتی با فراخوانی پارامترهای action و user_id در /wpadmin/ بدون اینکه نیاز به log in در سیستم را داشته باشد.

در باگ امنیتی دیگر در LearnDash، پیدا کردن این آسیب‌پذیری آسان است اگرچه اکسپلویت آن سخت است به این دلیل که به سادگی ورودی کاربر احراز هویت نشده نمی‌تواند مستقیما به SQL query ارایه شود. تابع learndash_get_course_groups در فایل ld-groups.php آسیب‌پذیر می‌باشد و بدون احراز هویت کاربر قابل اجرا می‌باشد.

LifterLMS یک پلاگین در وردپرس می باشد که دارای آسیب‌پذیری نوشتن فایل دلخواه و اکسپلویت آن می‌باشد. از آنجایی‌که وردپرس پلاگین‌ها را برای رجیستر نمودن فعالیت‌های جدید در admin-ajax خود بکار می‌برد این پلاگین هم از تابع handle خود استفاده می‌ نماید و call_user_func را فراخوانی می نماید. تابع generate_export_file بررسی صحت نوع فایل csv را به درستی انجام نداده و بصورت پیش فرض گمان می‌نماید فایل ارایه شده به تابع csv است که مهاجم می‌تواند فایل php خود را جایگزین و اجرا نماید.

طبق گفته رهبر تیم تحقیقاتی آسیب‌پذیری check point، آقای امری هرسکویکی(Omri Herscovici), به دلیل شیوع ویروس کرونا اکثر افراد از راه دور و در خانه کارها را انجام می‌دهند و این شامل روند اموزش افراد هم می‌شود. دانش‌آموزان و کارمندان در سامانه‌های آموزش از راه دور لاگین نموده و اطلاع ندارند که تا چه اندازه می‌تواند دارای ریسک امنیتی باشد. ما اثبات کردیم که هکرها می‌توانند به راحتی کنترل پلتفرم آموزش الکترونیکی را در اختیار بگیرند. سازمان‌های بزرگ آموزشی و آموزش‌های آکادمیک آنلاین به سیستم‌هایی که تحت مطالعه بودند وابسته هستند و تمام کلاس‌های درس و فرایند یادگیری در این پلتفرم‌ها تشکیل می‌شوند. این آسیب‌پذیری به دانش‌آموزان و یا کابران احرازهویت نشده اطلاعات حساس را افشا می‌کند و یا اینکه کنترل تمام پلتفرم LMS را در اختیار آن‌ها قرار می‌دهد. ما اعلام کرده‌ایم که تمام منتشرکنندگان محتویات آموزشی اگر از این پلاگین‌ها استفاده می‌کنند از به‌روز رسانی پلاگین خود اطمینان حاصل پیدا کنند.

محققان این آسیب‌پذیری را طی دوهفته در مارس ۲۰۲۰ پیدا کردند. Check point باگ امنیتی را به تیم توسعه محصولات این پلاگین اعلام نمود تا به‌روز رسانی را منتشر نمایند. هر تیم IT که با پلتفرم LMS کار می‌کنند می بایست بررسی کند که آیا پلتفرم آن‌ها این آسیب‌پذیری را دارد یا خیر و باید آخرین به‌روز رسانی را هر چه سریعتر انجام دهند.

باگدشت در این صفحه به بررسی باگ امنیتی بحرانی پلاگین LMS می پردازد. دانش‌آموزان احرازهویت نشده به کمک این باگ می‌توانند حفره‌های امنیتی را دور بزنند و اطلاعات را سرقت نمایند

منابع:

  1. Reaserch Check Point