Een persoon in Singapore die beweert een student te zijn, heeft publiekelijk documentatie vrijgegeven waaruit blijkt dat er sprake is van lakse beveiliging in een zeer populaire beheerservice voor mobiele apparaten op school, Mobile Guardian genaamd, weken voordat een cyberaanval op het bedrijf resulteerde in het massaal wissen van studentenapparaten en een wijdverbreide storing.
In een e-mail aan TechCrunch zei de student – die weigerde bij naam genoemd te worden uit angst voor juridische vergelding – dat hij de fout eind mei per e-mail aan de regering van Singapore had gemeld, maar er niet zeker van kon zijn dat de fout ooit werd gecorrigeerd. De regering van Singapore vertelde TechCrunch dat de bug was gepatcht vóór de Mobile Guardian-cyberaanval van 4 augustus, maar de student zei dat de bug zo gemakkelijk te vinden en triviaal was dat een ongecompliceerde aanvaller er misbruik van zou kunnen maken, uit angst dat er meer kwetsbaarheden zijn met soortgelijke exploits.
Het Britse Mobile Guardian, dat software aanbiedt om de apparaten van leerlingen op duizenden scholen over de hele wereld te beheren, ontdekte de inbreuk op 4 augustus en sloot zijn platform af om kwaadwillige toegang te blokkeren, maar niet voordat een indringer duizenden leerlingen toegang had gegeven tot het op afstand wissen apparaten.
Een dag later maakte de student details vrij over de kwetsbaarheid die hij eerder naar het Singaporese Ministerie van Onderwijs had gestuurd, de belangrijkste gebruiker van Mobile Guardian vanaf 2020.
In een bericht op Reddit zei de student dat een beveiligingsfout die hij bij Mobile Guardian ontdekte elke ingelogde gebruiker ‘superadmin’-toegang gaf tot het gebruikersbeheersysteem van het bedrijf. Met die toegang zou een kwaadwillende persoon acties kunnen uitvoeren die voorbehouden zijn aan schoolbeheerders, waaronder de mogelijkheid om “het persoonlijke leerapparaat van elke persoon te resetten”, zei hij.
De student schreef dat hij het probleem op 30 mei aan het Singaporese ministerie van Onderwijs had gemeld. Drie weken later reageerde het ministerie op de student en zei dat de fout ‘niet langer een probleem was’, maar weigerde verdere details met hem te delen, onder verwijzing naar ‘commerciële gevoeligheden’, volgens een e-mail die TechCrunch had gezien.
Toen TechCrunch contact opnam, bevestigde het ministerie dat het bericht van de bug had ontvangen van een beveiligingsonderzoeker en dat “de kwetsbaarheid werd ontdekt als onderdeel van een eerdere beveiligingsbeoordeling en al is gepatcht”, aldus woordvoerder Christopher Lee.
“We hebben ook bevestigd dat de ontdekte exploit na de patch niet langer levensvatbaar is. In juni voerde een onafhankelijke gecertificeerde penetratietester een verdere beoordeling uit, maar een dergelijke kwetsbaarheid werd niet gedetecteerd”, aldus de woordvoerder.
“We zijn ons er echter van bewust dat cyberdreigingen zich snel kunnen ontwikkelen en dat er nieuwe kwetsbaarheden kunnen worden ontdekt”, aldus de woordvoerder, eraan toevoegend dat het ministerie “de ontdekking van dergelijke kwetsbaarheden serieus neemt en deze grondig zal onderzoeken.”
Een exploiteerbare bug in ieders browser
De student beschreef de bug tegen TechCrunch als een kwetsbaarheid voor escalatie van privileges aan de clientzijde, waardoor iedereen op internet een nieuw Mobile Guardian-gebruikersaccount kon maken met een extreem hoog niveau van systeemtoegang met alleen de tools in hun webbrowser. Dit kwam doordat de servers van Mobile Guardian niet de juiste veiligheidscontroles uitvoerden en de reacties van de browsers van gebruikers niet vertrouwden.
De fout zorgde ervoor dat de server misleid kon worden om een hoger niveau van systeemtoegang voor een gebruikersaccount te accepteren door het netwerkverkeer van de browser te wijzigen.
TechCrunch heeft een video verkregen – opgenomen op 30 mei, de dag van de ontdekking – die laat zien hoe de bug werkt. De video toont een gebruiker die een ‘superadmin’-account aanmaakt met alleen de ingebouwde tools van de browser om het netwerkverkeer dat de rol van de gebruiker bevat, te wijzigen en de toegang tot dat account te verhogen van ‘admin’ naar ‘superadmin’.
De video liet zien dat de server het gewijzigde netwerkverzoek accepteerde en toen ingelogd werd als de nieuw aangemaakte “super admin”-gebruikersaccount, werd toegang verleend tot een controlepaneel met lijsten van scholen die waren ingeschreven bij Mobile Guardian.
Patrick Lawson, CEO van Mobile Guardian, reageerde vóór publicatie niet op meerdere verzoeken om commentaar, inclusief vragen over het rapport over de kwetsbaarheid van studenten en of het bedrijf de bug heeft opgelost.
Nadat we contact hadden opgenomen met Lawson, heeft het bedrijf zijn verklaring als volgt bijgewerkt: “Er is bevestigd dat interne en externe onderzoeken naar eerdere kwetsbaarheden in het Mobile Guardian-platform zijn opgelost en niet langer een risico vormen.” de eerdere tekortkomingen zijn verholpen, en de aankondiging sluit ook niet expliciet een verband uit tussen eerdere tekortkomingen en de cyberaanval van augustus.
Dit is het tweede beveiligingsincident dat Mobile Guardian dit jaar treft. In april bevestigde het Singaporese ministerie van Onderwijs dat het managementportaal van het bedrijf was gehackt en dat de persoonlijke gegevens van ouders en schoolpersoneel van honderden scholen in Singapore in gevaar waren gebracht. Het ministerie schreef de inbreuk toe aan het lakse wachtwoordbeleid van Mobile Guardian en niet aan een kwetsbaarheid in zijn systemen.
Weet u meer over de cyberaanval van Mobile Guardian? Bent u getroffen? Neem contact op. Deze verslaggever is te bereiken op Signal en WhatsApp op +1 646-755-8849, of via e-mail. Bestanden en documenten kunt u versturen via SecureDrop.