Ein angeblicher Student in Singapur veröffentlichte öffentlich Dokumente, die auf Sicherheitslücken in einem weit verbreiteten Schul-Mobilgeräteverwaltungsdienst namens Mobile Guardian hinweisen, Wochen vor einem Cyberangriff auf das Unternehmen, der zur Massenlöschung von Schülergeräten und weitreichenden Störungen führte.
In einer E-Mail an TechCrunch gab der Student, der aus Angst vor rechtlichen Konsequenzen seinen Namen nicht preisgeben wollte, an, den Fehler Ende Mai der singapurischen Regierung per E-Mail gemeldet zu haben. Er konnte jedoch nicht sicher sein, ob der Fehler jemals behoben wurde. Die singapurische Regierung teilte TechCrunch mit, dass der Fehler vor dem Cyberangriff auf Mobile Guardian am 4. August behoben wurde, aber der Student sagte, dass der Fehler so einfach zu finden und für einen unerfahrenen Angreifer so trivial auszunutzen sei, dass er befürchtet, dass es noch weitere ähnlich leicht ausnutzbare Schwachstellen gibt.
Der in Großbritannien ansässige Mobile Guardian, der Softwares zur Verwaltung von Geräten für Schüler in Tausenden von Schulen auf der ganzen Welt anbietet, enthüllte den Vorfall am 4. August und schaltete seine Plattform ab, um den böswilligen Zugriff zu blockieren, aber nicht bevor der Eindringling ihren Zugang nutzte, um Tausende von Schülergeräten fernzulöschen.
Einen Tag später veröffentlichte der Student Details zur Sicherheitslücke, die er zuvor dem singapurischen Bildungsministerium, einem wichtigen Kunden von Mobile Guardian seit 2020, gemeldet hatte.
In einem Reddit-Beitrag erklärte der Student, dass der von ihm in Mobile Guardian gefundene Sicherheitsfehler jedem angemeldeten Benutzer den "Super-Admin"-Zugriff auf das Benutzerverwaltungssystem des Unternehmens gewährte. Mit diesem Zugriff könne eine böswillige Person Aktionen durchführen, die für Schuladministratoren reserviert sind, einschließlich der Möglichkeit, "jedes persönliche Lerngerät jeder Person zurückzusetzen", so der Student.
Der Student berichtete, dass er das Problem dem singapurischen Bildungsministerium am 30. Mai gemeldet hat. Drei Wochen später antwortete das Ministerium dem Studenten, dass die Schwachstelle "kein weiteres Problem" darstelle, aber lehnte es ab, weitere Details mit ihm zu teilen, unter Berufung auf "kommerzielle Sensibilität", so die von TechCrunch eingesehenen E-Mails.
Als TechCrunch das Ministerium kontaktierte, bestätigte es, dass es von dem Sicherheitsforscher über den Fehler informiert wurde und dass "die Schwachstelle als Teil einer früheren Sicherheitsüberprüfung erkannt und bereits gepatcht wurde", so der Sprecher Christopher Lee.
"Dennoch sind wir uns bewusst, dass sich Cyberbedrohungen schnell weiterentwickeln können und neue Schwachstellen entdeckt werden können", sagte der Sprecher und fügte hinzu, dass das Ministerium "solche Schwachstellen-Enthüllungen ernst nimmt und sie gründlich untersuchen wird."
Bug in jedem Browser ausnutzbar
Der Student beschrieb den Fehler gegenüber TechCrunch als eine Client-seitige Privilegien-Eskalations-Schwachstelle, die es jedem im Internet ermöglichte, ein neues Mobile Guardian-Benutzerkonto mit einem extrem hohen Niveau an Systemzugriff nur mithilfe der Tools in seinem Webbrowser zu erstellen. Dies lag daran, dass die Server von Mobile Guardian angeblich keine angemessenen Sicherheitsüberprüfungen durchführten und Antworten aus dem Browser des Benutzers akzeptierten. Der Fehler bedeutete, dass der Server getäuscht werden konnte, das höhere Niveau des Systemzugriffs für ein Benutzerkonto zu akzeptieren, indem der Netzwerkverkehr im Browser modifiziert wurde.
TechCrunch wurde ein Video zur Verfügung gestellt - aufgenommen am 30. Mai, dem Tag der Offenlegung -, das zeigt, wie der Fehler funktioniert. Das Video zeigt, wie der Benutzer allein mithilfe der im Browser integrierten Tools den Netzwerkverkehr modifiziert, um das Benutzerrolle enthaltende Netzwerk zu ändern und so den Zugriff dieses Kontos von "Admin" auf "Super-Admin" zu erhöhen.
Das Video zeigte, dass der Server die modifizierte Netzwerkanfrage akzeptierte und beim Anmelden als dieses neu erstellte "Super-Admin"-Benutzerkonto Zugriff auf ein Dashboard gewährt wurde, das Listen von in Mobile Guardian eingeschriebenen Schulen anzeigt.
Mobile Guardian-CEO Patrick Lawson reagierte nicht auf mehrere Anfragen um Stellungnahme vor der Veröffentlichung, einschließlich Fragen zum Sicherheitsbericht des Studenten und ob das Unternehmen den Fehler behoben hat.
Nachdem wir Lawson kontaktiert hatten, aktualisierte das Unternehmen seine Erklärung wie folgt: "Interne und externe Untersuchungen zu früheren Schwachstellen der Mobile Guardian-Plattform bestätigen, dass diese behoben wurden und keine Gefahr mehr darstellen." Die Erklärung ließ offen, wann die früheren Fehler behoben wurden, und schloss nicht explizit einen Zusammenhang zwischen den früheren Fehlern und dem Cyberangriff im August aus.
Dies ist der zweite Sicherheitsvorfall, der Mobile Guardian in diesem Jahr ereilt hat. Im April bestätigte das singapurische Bildungsministerium, dass das Managementportal des Unternehmens gehackt wurde und die persönlichen Informationen von Eltern und Schulpersonal von Hunderten von Schulen in Singapur kompromittiert wurden. Das Ministerium führte den Vorfall auf die nachlässige Passwortrichtlinie von Mobile Guardian zurück, nicht auf eine Schwachstelle in seinen Systemen.
Wissen Sie mehr über den Cyberangriff auf Mobile Guardian? Sind Sie betroffen? Kontaktieren Sie diesen Reporter über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente über SecureDrop senden.
