Человек, утверждающий, что он студент из Сингапура, публично опубликовал документы, свидетельствующие об отсутствии безопасности в популярной школьной службе управления мобильными устройствами под названием Mobile Guardian, за несколько недель до того, как кибератака на компанию привела к удалению огромных студенческих устройств и повсеместным сбоям.
В электронном письме TechCrunch студент, который отказался назвать свое имя, опасаясь судебных преследований, сообщил, что сообщил об ошибке правительству Сингапура по электронной почте в конце мая, но не может быть уверен, была ли ошибка исправлена. Правительство Сингапура сообщило TechCrunch, что ошибка была исправлена до кибератаки Mobile Guardian 4 августа, но студент сказал, что ошибку было настолько легко найти и так легко использовать неискушенному злоумышленнику, что он опасается, что существуют другие уязвимости с аналогичной возможностью использования. .
Британская компания Mobile Guardian, которая предоставляет программное обеспечение для управления устройствами учащихся тысячам школ по всему миру, 4 августа раскрыла уязвимость и закрыла свою платформу, чтобы заблокировать вредоносный доступ, но не раньше, чем злоумышленник использовал свой доступ для удаленного уничтожения тысяч устройств учащихся. .
Днем позже студент опубликовал подробную информацию об уязвимости, которую он ранее отправил в Министерство образования Сингапура. крупный клиент Mobile Guardian с 2020 года.
В Публикация на RedditСтудент сказал, что ошибка безопасности, которую он обнаружил в Mobile Guardian, предоставила любому вошедшему в систему пользователю «суперадминистратора» доступ к системе управления пользователями компании. По словам студента, благодаря этому доступу злоумышленник сможет выполнять действия, зарезервированные для школьных администраторов, включая возможность «перезагрузить личное учебное устройство каждого человека», сказал он.
Студент написал, что сообщил о проблеме в Министерство образования Сингапура 30 мая. Три недели спустя факультет ответил студенту, заявив, что недостаток «больше не является проблемой», но отказался поделиться с ним более подробной информацией, сославшись на «коммерческую конфиденциальность», говорится в электронном письме, с которым ознакомился TechCrunch.
В сообщении TechCrunch министерство подтвердило, что оно было проинформировано об ошибке исследователем безопасности и что, по словам представителя Кристофера Ли, «уязвимость была обнаружена в рамках предыдущей проверки безопасности и уже исправлена».
«Мы также подтвердили, что утекший эксплойт больше не может быть использован после установки патча. В июне независимый сертифицированный тестер на проникновение провел более глубокую оценку и подобных уязвимостей обнаружено не было», — сообщил представитель компании.
«Тем не менее, мы осознаем, что киберугрозы могут быстро развиваться и могут быть обнаружены новые уязвимости», — сказал представитель, добавив, что министерство «серьезно относится к раскрытию информации об уязвимостях и будет тщательно их расследовать».
Эксплуатируемая ошибка в любом браузере
Студент описал ошибку TechCrunch как уязвимость повышения привилегий на стороне клиента, которая позволяла любому в Интернете создать новую учетную запись пользователя Mobile Guardian с чрезвычайно высоким уровнем доступа к системе, используя только инструменты вашего веб-браузера. Это произошло потому, что серверы Mobile Guardian не выполняли должных проверок безопасности и не доверяли ответам браузера пользователя.
Ошибка означала, что сервер можно было обманом заставить принять более высокий уровень доступа к системе от имени пользователя, изменив сетевой трафик в браузере.
TechCrunch получил видео, записанное 30 мая, в день раскрытия, демонстрирующее, как работает ошибка. На видео показано, как пользователь создает учетную запись «суперадминистратора», используя только встроенные инструменты браузера для изменения сетевого трафика, содержащего роль пользователя, для повышения уровня доступа к этой учетной записи с «администратора» до «суперадминистратора».
На видео показано, как сервер принимает измененный сетевой запрос и после входа в систему под вновь созданной учетной записью «суперадминистратора» предоставляет доступ к панели управления, отображающей списки школ, зарегистрированных в Mobile Guardian.
Генеральный директор Mobile Guardian Патрик Лоусон не ответил на многочисленные запросы о комментариях перед публикацией, включая вопросы об отчете студента об уязвимости и о том, исправила ли компания ошибку.
После того, как мы связались с Лоусоном, компания обновила свое заявление следующим образом: «Внутренние и сторонние расследования предыдущих уязвимостей в платформе Mobile Guardian подтвердили, что они были устранены и больше не представляют риска. В заявлении не уточняется, когда были устранены предыдущие нарушения, и не исключается явная связь между предыдущими нарушениями и августовской кибератакой.
Это второй инцидент безопасности В этом году Mobile Guardian стала жертвой многочисленных атак. В апреле Министерство образования Сингапура подтвердило, что портал управления компании был взломан, а личная информация родителей и школьного персонала в сотнях школ по всему Сингапуру была скомпрометирована. приписал нарушение из-за слабой политики паролей Mobile Guardian, а не из-за уязвимости в ее системах.
Знаете ли вы больше о кибератаке Mobile Guardian? Вы затронуты? Связаться с нами. Вы можете связаться с этим репортером в Signal и WhatsApp по телефону +1 646-755-8849 или по электронной почте. Вы можете отправлять файлы и документы через SecureDrop.