Singapur’da öğrenci olduğunu iddia eden bir kişi, şirkete yönelik bir siber saldırının öğrenci cihazlarının toplu olarak silinmesine ve yaygın bir kesintiye yol açmasından haftalar önce, Mobile Guardian adlı yaygın olarak popüler bir okul mobil cihaz yönetimi hizmetindeki gevşek güvenliği gösteren belgeleri kamuya açık olarak yayınladı.
Yasal misilleme korkusu nedeniyle adını vermeyi reddeden öğrenci, TechCrunch’a gönderdiği bir e-postada, hatayı Mayıs ayı sonlarında Singapur hükümetine e-posta yoluyla bildirdiğini ancak hatanın düzeltildiğinden emin olamadığını söyledi. Singapur hükümeti TechCrunch’a hatanın Mobile Guardian’ın 4 Ağustos’taki siber saldırısından önce düzeltildiğini söyledi ancak öğrenci, hatanın bulunmasının çok kolay olduğunu ve tecrübesiz bir saldırganın yararlanabileceği önemsiz olduğunu ve benzer sömürülebilirlik açısından daha fazla güvenlik açığı olmasından korktuğunu söyledi. .
Dünya çapında binlerce okula öğrenci cihaz yönetimi yazılımı sağlayan İngiltere merkezli Mobile Guardian, ihlali 4 Ağustos’ta açıkladı ve kötü niyetli erişimi engellemek için platformunu kapattı, ancak bu, davetsiz misafirin binlerce kişiyi uzaktan silmek için erişimini kullanması öncesinde gerçekleşti. öğrenci cihazları.
Bir gün sonra öğrenci, daha önce Mobile Guardian’ın 2020’den bu yana önemli bir müşterisi olan Singapur Eğitim Bakanlığı’na gönderdiği güvenlik açığının ayrıntılarını yayınladı.
Bir Reddit gönderisinde öğrenci, Mobile Guardian’da bulduğu güvenlik hatasının, oturum açmış tüm kullanıcılara şirketin kullanıcı yönetim sistemine “süper yönetici” erişimi sağladığını söyledi. Öğrenci, bu erişimle kötü niyetli bir kişinin, “her kişinin kişisel öğrenme cihazını sıfırlama” yeteneği de dahil olmak üzere okul yöneticilerine ayrılmış eylemleri gerçekleştirebileceğini söyledi.
Öğrenci, konuyu 30 Mayıs’ta Singapur eğitim bakanlığına bildirdiğini yazdı. Üç hafta sonra bakanlık, öğrenciye kusurun “artık endişe verici olmadığını” söyleyerek yanıt verdi ancak onunla daha fazla ayrıntı paylaşmayı reddetti: ” TechCrunch tarafından görülen e-postaya göre ticari hassasiyet.
TechCrunch’a ulaşıldığında bakanlık, güvenlik araştırmacısından hatayla ilgili haber aldığını ve sözcü Christopher Lee’ye göre “güvenlik açığının daha önceki bir güvenlik taramasının parçası olarak tespit edildiğini ve zaten yamalandığını” doğruladı.
“Ayrıca açıklanan istismarın yamadan sonra artık işe yaramadığını da doğruladık. Haziran ayında bağımsız, sertifikalı bir sızma test cihazı daha ileri bir değerlendirme gerçekleştirdi ve böyle bir güvenlik açığı tespit edilmedi” dedi.
Sözcü, “Bununla birlikte, siber tehditlerin hızlı bir şekilde gelişebileceğinin ve yeni güvenlik açıklarının keşfedilebileceğinin farkındayız” dedi ve bakanlığın “bu tür güvenlik açığı açıklamalarını ciddiye aldığını ve bunları kapsamlı bir şekilde araştıracağını” ekledi.
Herkesin tarayıcısında istismar edilebilecek hata
Öğrenci, TechCrunch’a hatayı, internetteki herkesin yalnızca web tarayıcılarındaki araçları kullanarak son derece yüksek düzeyde sistem erişimine sahip yeni bir Mobile Guardian kullanıcı hesabı oluşturmasına olanak tanıyan istemci tarafı ayrıcalık yükseltme güvenlik açığı olarak tanımladı. Bunun nedeni, Mobile Guardian sunucularının uygun güvenlik kontrollerini yapmaması ve kullanıcının tarayıcısından gelen yanıtlara güvenmemesiydi.
Hata, sunucunun, tarayıcıdaki ağ trafiğini değiştirerek bir kullanıcının hesabı için daha yüksek düzeyde sistem erişimini kabul etmesi için kandırılabileceği anlamına geliyordu.
TechCrunch’a, açıklandığı gün olan 30 Mayıs’ta kaydedilen ve hatanın nasıl çalıştığını gösteren bir video sağlandı. Videoda, kullanıcının, hesabın erişimini “yönetici”den “süper yönetici”ye yükseltmek amacıyla kullanıcının rolünü içeren ağ trafiğini değiştirmek için yalnızca tarayıcının yerleşik araçlarını kullanarak bir “süper yönetici” hesabı oluşturduğu gösterilmektedir.
Videoda, sunucunun değiştirilmiş ağ isteğini kabul ettiği ve yeni oluşturulan “süper yönetici” kullanıcı hesabıyla oturum açıldığında Mobile Guardian’a kayıtlı okulların listesini gösteren bir kontrol paneline erişim izni verildiği görülüyor.
Mobile Guardian CEO’su Patrick Lawson, öğrencinin güvenlik açığı raporu ve şirketin hatayı düzeltip düzeltmediği hakkındaki sorular da dahil olmak üzere, yayınlanmadan önce çok sayıda yorum talebine yanıt vermedi.
Lawson ile iletişime geçmemizin ardından şirket, açıklamasını şu şekilde güncelledi: “Mobile Guardian Platformunun önceki güvenlik açıklarına ilişkin dahili ve üçüncü taraf soruşturmalarının çözüldüğü ve artık risk oluşturmadığı doğrulandı.” Açıklamada önceki kusurların ne zaman çözüldüğü belirtilmedi ve önceki kusurlarla Ağustos ayındaki siber saldırı arasındaki bağlantıyı açıkça dışlamadı.
Bu, Mobile Guardian’ı bu yıl rahatsız eden ikinci güvenlik olayı. Nisan ayında Singapur eğitim bakanlığı, şirketin yönetim portalının saldırıya uğradığını ve Singapur genelindeki yüzlerce okuldaki ebeveynlerin ve okul personelinin kişisel bilgilerinin ele geçirildiğini doğruladı. Bakanlık, ihlali, sistemlerindeki bir güvenlik açığından ziyade Mobile Guardian’ın gevşek şifre politikasına bağladı.
Mobile Guardian siber saldırısı hakkında daha fazla bilginiz var mı? Etkileniyor musun? İletişime geçin. Bu muhabirle +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçebilirsiniz. SecureDrop aracılığıyla dosya ve belge gönderebilirsiniz.
Kaynak: https://techcrunch.com/2024/08/09/student-raised-security-concerns-in-mobile-guardian-mdm-weeks-before-cyberattack/