محققان شرکت check point چندین باگ امنیتی بحرانی در پلاگین LMS وردپرس شناسایی نمودهاند که منجربه در اختیار گرفتن کل سیستم میشود.
شناسه آسیبپذیری:
CVE-2020-6010, CVE-2020-11511, CVE-2020-6009, CVE-2020-6008
سطح ریسک:
CVE-2020-6010:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Base Score: 8.8 High
CVE-2020-11511:
No CVSS available
CVE-2020-6009:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Base Score: 9.8 Critical
CVE-2020-6008:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Base Score: 9.8 Critical
نسخههای آسیبپذیری:
LearnPress Versions 3.2.6.7
LearnDash Version below 3.1.6
LifterLMS Version below 3.37.15
توضیحات:
با اکسپلویت این نقص در LearPress, LearnDash و LifterLMS دانشآموزان و کاربران احرازهویت نشده میتوانند حفرههای امنیتی را دور بزنند و اطلاعات شخصی و اطلاعات مالی کاربران را سرقت نمایند و همچنین میتوانند به سطح دسترسی معلمان برسند. باگدشت در این صفحه به بررسی باگ امنیتی بحرانی پلاگین LMS می پردازد. دانشآموزان احرازهویت نشده به کمک این باگ میتوانند حفرههای امنیتی را دور بزنند و اطلاعات را سرقت نمایند
این آسیبپذیری یک باگ تزریق SQL از نوع Time-Based است که به راحتی قابل شناسایی و اکسپلویت است. متد _get_items از کلاس LP_Modal_Search_Items به تزریق کد SQL آسیبپذیر است. این متد در فیلتر کردن صحیح اطلاعات کاربر قبل از استفاده از آن در کوئری به درستی عمل نمیکند. یک کاربر احرازهویت شده میتواند با فراخوانی Ajax method learnpress_modal_search_items این آسیبپذیری را فعال کند که روند زیر اجرا میشود:
LP_Admin_Ajax::modal_search_items
→ LP_Modal_Search_Items::get_items
→ LP_Modal_Search_Items::_get_items
.
در آسیب پذیری دیگر، تابع learn-press_accept_become_a_teacher را میتوان برای ارتقا سطح دسترسی کاربر ثبت نام شده به سطح دسترسی معلم استفاده کرد. به شکل غیرمنتظره کدها سطح دسترسی کاربر درخواست دهنده را بررسی نمیکند و در نتیجه یک دانشاموز با فراخوانی این تابع میتواند در نرمافزار LMS معلم شود. این تابع وقتی که پلاگین مربوطه لود میشود، فعال میگردد. به این معنی که به راحتی با فراخوانی پارامترهای action و user_id در /wpadmin/ بدون اینکه نیاز به log in در سیستم را داشته باشد.
در باگ امنیتی دیگر در LearnDash، پیدا کردن این آسیبپذیری آسان است اگرچه اکسپلویت آن سخت است به این دلیل که به سادگی ورودی کاربر احراز هویت نشده نمیتواند مستقیما به SQL query ارایه شود. تابع learndash_get_course_groups در فایل ld-groups.php آسیبپذیر میباشد و بدون احراز هویت کاربر قابل اجرا میباشد.
LifterLMS یک پلاگین در وردپرس می باشد که دارای آسیبپذیری نوشتن فایل دلخواه و اکسپلویت آن میباشد. از آنجاییکه وردپرس پلاگینها را برای رجیستر نمودن فعالیتهای جدید در admin-ajax خود بکار میبرد این پلاگین هم از تابع handle خود استفاده می نماید و call_user_func را فراخوانی می نماید. تابع generate_export_file بررسی صحت نوع فایل csv را به درستی انجام نداده و بصورت پیش فرض گمان مینماید فایل ارایه شده به تابع csv است که مهاجم میتواند فایل php خود را جایگزین و اجرا نماید.
طبق گفته رهبر تیم تحقیقاتی آسیبپذیری check point، آقای امری هرسکویکی(Omri Herscovici), به دلیل شیوع ویروس کرونا اکثر افراد از راه دور و در خانه کارها را انجام میدهند و این شامل روند اموزش افراد هم میشود. دانشآموزان و کارمندان در سامانههای آموزش از راه دور لاگین نموده و اطلاع ندارند که تا چه اندازه میتواند دارای ریسک امنیتی باشد. ما اثبات کردیم که هکرها میتوانند به راحتی کنترل پلتفرم آموزش الکترونیکی را در اختیار بگیرند. سازمانهای بزرگ آموزشی و آموزشهای آکادمیک آنلاین به سیستمهایی که تحت مطالعه بودند وابسته هستند و تمام کلاسهای درس و فرایند یادگیری در این پلتفرمها تشکیل میشوند. این آسیبپذیری به دانشآموزان و یا کابران احرازهویت نشده اطلاعات حساس را افشا میکند و یا اینکه کنترل تمام پلتفرم LMS را در اختیار آنها قرار میدهد. ما اعلام کردهایم که تمام منتشرکنندگان محتویات آموزشی اگر از این پلاگینها استفاده میکنند از بهروز رسانی پلاگین خود اطمینان حاصل پیدا کنند.
محققان این آسیبپذیری را طی دوهفته در مارس ۲۰۲۰ پیدا کردند. Check point باگ امنیتی را به تیم توسعه محصولات این پلاگین اعلام نمود تا بهروز رسانی را منتشر نمایند. هر تیم IT که با پلتفرم LMS کار میکنند می بایست بررسی کند که آیا پلتفرم آنها این آسیبپذیری را دارد یا خیر و باید آخرین بهروز رسانی را هر چه سریعتر انجام دهند.
باگدشت در این صفحه به بررسی باگ امنیتی بحرانی پلاگین LMS می پردازد. دانشآموزان احرازهویت نشده به کمک این باگ میتوانند حفرههای امنیتی را دور بزنند و اطلاعات را سرقت نمایند