Asmuo, teigiantis esąs studentas Singapūre, viešai paskelbė dokumentus, rodančius atsainų saugumą plačiai populiarioje mokyklos mobiliųjų įrenginių valdymo tarnyboje, vadinamoje „Mobile Guardian“, likus kelioms savaitėms iki kibernetinės atakos prieš įmonę, dėl kurios buvo masiškai išvalomi mokinių įrenginiai ir buvo sutrikdyta.
El. laiške su TechCrunch studentas, kuris atsisakė nurodyti savo vardą, baimindamasis teisinio keršto, sakė, kad apie klaidą Singapūro vyriausybei pranešė el. paštu gegužės pabaigoje, tačiau negalėjo būti tikras, kad klaida kada nors buvo ištaisyta. Singapūro vyriausybė „TechCrunch“ pranešė, kad klaida buvo ištaisyta prieš „Mobile Guardian“ kibernetinę ataką rugpjūčio 4 d., tačiau studentas teigė, kad šią klaidą buvo taip lengva rasti ir ji buvo nereikšminga, kad nesudėtingas užpuolikas galėtų ja pasinaudoti, kad baiminasi, kad yra daugiau panašaus išnaudojimo pažeidžiamumų. .
JK įsikūrusi „Mobile Guardian“, teikianti mokinių įrenginių valdymo programinę įrangą tūkstančiams mokyklų visame pasaulyje, pažeidimą atskleidė rugpjūčio 4 d. ir uždarė savo platformą, kad užblokuotų kenkėjišką prieigą, tačiau tik tada, kai įsibrovėlis pasinaudojo jų prieiga, kad nuotoliniu būdu nuvalytų tūkstančius studentų prietaisų.
Po dienos studentas paskelbė išsamią informaciją apie pažeidžiamumą, kurį anksčiau buvo nusiuntęs Singapūro švietimo ministerijai, kuri yra pagrindinė „Mobile Guardian“ klientė nuo 2020 m.
„Reddit“ įraše studentas teigė, kad „Mobile Guardian“ aptikta saugos klaida kiekvienam prisijungusiam vartotojui suteikė „super administratorių“ prieigą prie įmonės vartotojų valdymo sistemos. Mokinio teigimu, turėdamas tokią prieigą, piktavalis asmuo gali atlikti veiksmus, skirtus mokyklos administratoriams, įskaitant galimybę „iš naujo nustatyti kiekvieno asmens asmeninį mokymosi įrenginį“, sakė jis.
Studentas rašė, kad apie problemą pranešė Singapūro švietimo ministerijai gegužės 30 d. Po trijų savaičių ministerija atsakė studentui, sakydama, kad trūkumas „nebėra susirūpinęs“, tačiau atsisakė su juo pasidalyti jokia kita informacija, remdamasi „ komercinis jautrumas“, – rašoma „TechCrunch“ el.
Kai ją pasiekė „TechCrunch“, ministerija patvirtino, kad pranešimą apie klaidą gavo iš saugumo tyrėjo ir kad „pažeidžiamumas buvo nustatytas atliekant ankstesnį saugumo patikrinimą ir jau buvo pataisytas“, kaip sakė atstovas Christopheris Lee.
„Mes taip pat patvirtinome, kad po pataisos atskleistas išnaudojimas nebeveikė. Birželio mėnesį nepriklausomas sertifikuotas skverbties testeris atliko tolesnį vertinimą ir tokio pažeidžiamumo neaptikta“, – sakė atstovas.
„Nepaisant to, turime omenyje, kad kibernetinės grėsmės gali greitai vystytis ir aptikti naujų pažeidžiamumų“, – sakė atstovas ir pridūrė, kad ministerija „tokį pažeidžiamumo atskleidimą vertina rimtai ir juos nuodugniai ištirs“.
Klaidą galima išnaudoti bet kokioje naršyklėje
Studentas apibūdino „TechCrunch“ klaidą kaip kliento privilegijų padidinimo pažeidžiamumą, kuris leido bet kuriam interneto naudotojui sukurti naują „Mobile Guardian“ vartotojo abonementą su itin aukštu sistemos prieigos lygiu, naudojant tik savo žiniatinklio naršyklėje esančius įrankius. Taip buvo todėl, kad „Mobile Guardian“ serveriai tariamai neatliko tinkamų saugos patikrų ir nepasitikėjo atsakymais iš vartotojo naršyklės.
Klaida reiškė, kad serveris gali būti apgautas, kad priimtų aukštesnį vartotojo paskyros prieigos prie sistemos lygį, pakeitus tinklo srautą naršyklėje.
„TechCrunch“ buvo pateiktas vaizdo įrašas, įrašytas gegužės 30 d., atskleidimo dieną, parodantis, kaip klaida veikia. Vaizdo įraše parodyta, kaip vartotojas sukuria „super administratoriaus“ paskyrą naudodamas tik naršyklėje integruotus įrankius, kad pakeistų tinklo srautą, kuriame yra vartotojo vaidmuo, kad paskyros prieiga būtų padidinta iš „admin“ į „super admin“.
Vaizdo įraše buvo parodyta, kaip serveris priima pakeistą tinklo užklausą, o kai prisijungė kaip naujai sukurta „super administratoriaus“ vartotojo paskyra, gavo prieigą prie prietaisų skydelio, kuriame rodomi „Mobile Guardian“ įtrauktų mokyklų sąrašai.
„Mobile Guardian“ generalinis direktorius Patrickas Lawsonas neatsakė į kelis prašymus pakomentuoti prieš paskelbimą, įskaitant klausimus apie studento pažeidžiamumo ataskaitą ir tai, ar įmonė ištaisė klaidą.
Po to, kai susisiekėme su Lawson, bendrovė atnaujino savo pareiškimą taip: „Patvirtinta, kad vidiniai ir trečiųjų šalių tyrimai dėl ankstesnių „Mobile Guardian Platform“ pažeidžiamumų buvo pašalinti ir nebekelia pavojaus. Pareiškime nenurodyta, kada buvo pašalinti ankstesni trūkumai, taip pat aiškiai nepaneigiamas ryšys tarp ankstesnių trūkumų ir rugpjūčio mėn. kibernetinės atakos.
Tai jau antrasis saugumo incidentas šiais metais „Mobile Guardian“. Balandį Singapūro švietimo ministerija patvirtino, kad buvo įsilaužta į įmonės valdymo portalą, o šimtų Singapūro mokyklų tėvų ir mokyklų darbuotojų asmeninė informacija buvo pažeista. Ministerija pažeidimą siejo su „Mobile Guardian“ atsaine slaptažodžių politika, o ne su jos sistemų pažeidžiamumu.
Ar žinote daugiau apie „Mobile Guardian“ kibernetinę ataką? Ar esate paveiktas? Susisiekite. Su šiuo reporteriu galite susisiekti naudodami „Signal“ ir „WhatsApp“ telefonu +1 646-755-8849 arba el. Failus ir dokumentus galite siųsti naudodami „SecureDrop“.