Check Point descubre fallas de seguridad en plugin de WordPress

Por Orlando Rojas Pérez – Investigadores de la empresa Check Point descubrieron fallos de seguridad en los plugin de WordPress que utilizan las plataformas de aprendizaje remoto -eLearning-. Estas fallas, permiten a los cibercriminales tomar el control total de la plataforma y están presentes en los sistemas de formación en línea de empresas listas entre las Fortune 500 y más de 100.000 instituciones educativas entre las que se encuentran las Universidades de Florida, Michigan y Washington. Estos plugins de Wordpress son usados para desarrollar plataformas de LearnPress, LearnDash y LifterLMS. El error de seguridad permite a cualquier persona experta, obtener privilegios de profesor y de esta forma, robar información personal o incluso obtener beneficios económicos.

El brote de coronavirus impide a millones de alumnos de todo el mundo seguir su formación académica con normalidad. Por este motivo, las principales instituciones de enseñanza y otras empresas confían en los sistemas de formación para impartir clases virtuales sin que los estudiantes o empleados entren en un aula física. Este tipo de sistemas permiten almacenar una gran cantidad de información educativa, por lo que se utilizan fundamentalmente para crear clases virtuales, compartir trabajos, evaluar a los estudiantes, etc. Además, son muy fáciles de usar, ya que para acceder a estos recursos formativos online tan sólo se necesita un nombre de usuario y una contraseña.

Los investigadores de Check Point revelaron responsablemente cada una de las vulnerabilidades, conocidas como CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 y CVE-2020-6011, en las respectivas plataformas a los desarrolladores apropiados y ya fueron subsanadas. Asimismo, otra de las vulnerabilidades, conocida como CVE-2020-11511, ya había sido detectada por Wordfence.

 

¿CUÁLES SON LOS PLUGINS DE WORDPRESS AFECTADOS POR ESTA VULNERABILIDAD?
Check Point encontró tres problemas de seguridad en LearnPress, LearnDash y LifterLMS.  Cualquiera de estos tres plugins, puede transformar cualquier sitio web de WordPress en un sistema de gestión de formación completamente funcional y fácil de usar.:

- LearnPress: es uno de los sistemas de gestión más populares del sector. Este plugin permite generar cursos y lecciones a medida con pruebas de nivel que permiten a los estudiantes ir avanzando niveles en el plan de estudios. Se utiliza en más de 21.000 escuelas y está instalado en más de 80.000 dispositivos.

- LearnDash: este plugin proporciona las herramientas necesarias para suministrar contenido, comercializar cursos, recompensar a los alumnos o poner en marcha actividades. Más de 33.000 sitios web utilizan LearnDash.

- LifterLMS: proporciona ejemplos de cursos y pruebas de nivel, así como certificados y una página Web totalmente configurada. Más de 17.000 sitios Web utilizan este plugin, incluyendo agencias de WordPress y educadores, junto con varias escuelas y diversas instituciones educativas.

Estas vulnerabilidades fueron descubiertas en un periodo de tiempo de dos semanas durante el pasado mes de marzo, permitían llevar a cabo el sueño de algunos estudiantes: hackear los sistemas informáticos y tomar el control de la información académica. En otras palabras, cualquier persona que aproveche este fallo de seguridad podría modificar sus notas y las del resto de los estudiantes, falsificar certificados, tener acceso a las respuestas de los exámenes e incluso hacerse con los privilegios que la plataforma concede únicamente a los profesores. Asimismo, podría robar información personal (nombre, correo electrónico, usuario y contraseña de la plataforma), o incluso desviar el dinero de los pagos realizados a estas plataformas a sus propias cuentas bancarias.

 

DECLARACIONES
Omri Herscovici -jefe del equipo de investigación de vulnerabilidades de Check Point- comentó: “El coronavirus ha hecho que la población tenga que realizar todas sus actividades desde casa, incluyendo la formación. Por este motivo, las principales instituciones educativas, así como muchas academias, confían en los sistemas para continuar con su actividad de forma virtual. Sin embargo, los estudiantes y empleados que acceden a estas plataformas de eLearning probablemente no saben lo peligroso que puede ser”.

 


Antonio Amador

Antonio Amador -gerente de la Región Norte de Latinoamérica para Check Point- agregó: “Con la investigación que hemos llevado a cabo hemos descubierto vulnerabilidades que permiten a los cibercriminales tomar el control de estas plataformas con suma facilidad y, como consecuencia, poder acceder a información sensible. Por este motivo, desde Check Point aconsejamos a todas aquellas instituciones académicas que cuenten con este tipo de plataformas para actualizar el software y contar con la última versión disponible”.
e

 

Ver nota:

Violan datos de 19 millones de clientes de GoDaddy

Violan datos de 19 millones de clientes de GoDaddy
Y sus 77 millones de dominios administrados.
http://www.evaluamos.com/?home/detail/17113

 

 

 

Copyright © 2000 - 2017 Evaluamos. Todos los derechos reservados.