Eine Person, die sich als Student in Singapur ausgab, veröffentlichte öffentlich Unterlagen, die laxe Sicherheit bei Mobile Guardian, einem weit verbreiteten Dienst zur Verwaltung mobiler Geräte in Schulen, aufzeigten. Dies geschah wenige Wochen, bevor es zu einem Cyberangriff auf das Unternehmen kam, bei dem viele Geräte von Schülern gelöscht wurden und es zu weitreichenden Störungen kam.
In einer E-Mail an Tech sagte der Student – der seinen Namen aus Angst vor rechtlichen Konsequenzen nicht nennen wollte –, er habe den Fehler Ende Mai per E-Mail an die Regierung Singapurs gemeldet, könne aber nicht sicher sein, ob er jemals behoben wurde. Die Regierung Singapurs teilte Tech mit, dass der Fehler vor dem Cyberangriff von Mobile Guardian am 4. August behoben worden sei. Der Student sagte jedoch, der Fehler sei so leicht zu finden und für einen unerfahrenen Angreifer so einfach auszunutzen gewesen, dass er befürchte, es gebe noch weitere Schwachstellen mit ähnlicher Ausnutzbarkeit.
Das in Großbritannien ansässige Unternehmen Mobile Guardian, das in Tausenden von Schulen auf der ganzen Welt Software zur Geräteverwaltung für Schüler bereitstellt, gab den Verstoß am 4. August bekannt und schloss seine Plattform, um den böswilligen Zugriff zu blockieren. Allerdings kam es zuvor dazu, dass der Eindringling seinen Zugriff nutzte, um Tausende von Schülergeräten aus der Ferne zu löschen.
Einen Tag später veröffentlichte der Student Einzelheiten zu der Sicherheitslücke, die er zuvor an das singapurische Bildungsministerium geschickt hatte. Großkunde von Mobile Guardian seit 2020.
In einem Reddit-BeitragDer Student sagte, dass der Sicherheitsfehler, den er in Mobile Guardian gefunden hatte, jedem angemeldeten Benutzer „Superadministrator“-Zugriff auf das Benutzerverwaltungssystem des Unternehmens gewährte. Mit diesem Zugriff, so der Student, könne eine böswillige Person Aktionen ausführen, die Schuladministratoren vorbehalten sind, darunter die Möglichkeit, „das persönliche Lerngerät jeder Person zurückzusetzen“, sagte er.
Der Student schrieb, dass er das Problem am 30. Mai dem singapurischen Bildungsministerium gemeldet habe. Drei Wochen später antwortete das Ministerium dem Studenten, dass der Fehler „kein Grund zur Sorge“ sei, lehnte es jedoch ab, ihm weitere Einzelheiten mitzuteilen, mit der Begründung, dass „kommerzielle Sensibilität“ bestehe, wie aus der E-Mail hervorgeht, die Tech vorliegt.
Auf Anfrage von Tech bestätigte das Ministerium, dass es von dem Sicherheitsforscher über den Fehler informiert worden sei und dass „die Schwachstelle im Rahmen einer früheren Sicherheitsüberprüfung entdeckt und bereits gepatcht worden sei“, so Sprecher Christopher Lee.
„Wir haben außerdem bestätigt, dass der offengelegte Exploit nach dem Patch nicht mehr funktionierte. Im Juni führte ein unabhängiger zertifizierter Penetrationstester eine weitere Bewertung durch und es wurde keine derartige Schwachstelle festgestellt“, sagte der Sprecher.
„Dennoch sind wir uns bewusst, dass sich Cyber-Bedrohungen schnell weiterentwickeln und neue Schwachstellen entdeckt werden können“, sagte der Sprecher und fügte hinzu, dass das Ministerium „solche Offenlegungen von Schwachstellen sehr ernst nimmt und sie gründlich untersuchen wird.“
Fehler, der in jedem Browser ausgenutzt werden kann
Der Student beschrieb den Fehler gegenüber Tech als eine clientseitige Schwachstelle zur Rechteausweitung, die es jedem im Internet ermöglichte, mithilfe der Tools seines Webbrowsers ein neues Mobile Guardian-Benutzerkonto mit extrem hohem Systemzugriff zu erstellen. Dies lag daran, dass die Server von Mobile Guardian angeblich nicht die richtigen Sicherheitsprüfungen durchführten und den Antworten des Browsers des Benutzers nicht vertrauten.
Der Fehler führte dazu, dass der Server durch die Änderung des Netzwerkverkehrs im Browser dazu verleitet werden konnte, die höhere Systemzugriffsebene für das Konto eines Benutzers zu akzeptieren.
Tech wurde ein Video zur Verfügung gestellt – aufgenommen am 30. Mai, dem Tag der Offenlegung – das demonstriert, wie der Fehler funktioniert. Das Video zeigt, wie der Benutzer ein „Super-Admin“-Konto erstellt und dabei nur die integrierten Tools des Browsers verwendet, um den Netzwerkverkehr zu ändern, der die Rolle des Benutzers enthält, um den Zugriff dieses Kontos von „Admin“ auf „Super-Admin“ zu erhöhen.
Das Video zeigte, wie der Server die geänderte Netzwerkanforderung akzeptierte und nach der Anmeldung mit dem neu erstellten „Superadministrator“-Benutzerkonto Zugriff auf ein Dashboard mit Listen der bei Mobile Guardian registrierten Schulen gewährte.
Patrick Lawson, CEO von Mobile Guardian, antwortete vor der Veröffentlichung nicht auf mehrere Anfragen um einen Kommentar. Darunter befanden sich Fragen zum Sicherheitslückenbericht des Studenten und dazu, ob das Unternehmen den Fehler behoben habe.
Nachdem wir Lawson kontaktiert hatten, aktualisierte das Unternehmen seine Stellungnahme wie folgt: „Interne und von Dritten durchgeführte Untersuchungen früherer Schwachstellen der Mobile Guardian-Plattform haben sich als behoben erwiesen und stellen kein Risiko mehr dar.“ In der Stellungnahme wurde weder erwähnt, wann die früheren Schwachstellen behoben wurden, noch wurde ein Zusammenhang zwischen den früheren Schwachstellen und dem Cyberangriff im August ausdrücklich ausgeschlossen.
Das ist der zweite Sicherheitsvorfall Mobile Guardian wird dieses Jahr von einem Angriff heimgesucht. Im April bestätigte das Bildungsministerium von Singapur, dass das Verwaltungsportal des Unternehmens gehackt worden sei und die persönlichen Daten von Eltern und Schulpersonal aus Hunderten von Schulen in ganz Singapur kompromittiert worden seien. Das Ministerium führte den Verstoß an Es liegt eher an der laxen Kennwortrichtlinie von Mobile Guardian als an einer Sicherheitslücke in dessen Systemen.
Wissen Sie mehr über den Cyberangriff auf Mobile Guardian? Sind Sie betroffen? Nehmen Sie Kontakt auf. Sie können diesen Reporter über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail erreichen. Sie können Dateien und Dokumente über SecureDrop senden.