在新加坡一名自稱為學生的人公開發布文件,顯示一個廣受歡迎的學校行動設備管理服務 Mobile Guardian 安全不足的情況,數周後該公司遭受網絡攻擊,導致學生設備大規模被清空並造成嚴重中斷。
在與 TechCrunch 的一封電子郵件中,這名學生(因擔心法律報復而拒絕提供姓名)表示他在5月底通過電子郵件向新加坡政府報告該漏洞,但無法確定該漏洞是否得到修復。新加坡政府告訴 TechCrunch,在 Mobile Guardian 於 8月4日的網絡攻擊之前,漏洞已經修復,但學生表示該漏洞易於尋找,對於一個不具備專業技術的攻擊者來說是微不足道的,他擔心還存在著其他易受利用的漏洞。
總部設在英國的 Mobile Guardian 在全球數千所學校提供學生設備管理軟件,該公司於 8月4日披露遭受攻擊並關閉其平台以阻止惡意訪問,但入侵者在此之前利用其訪問權限遠程清空成千上萬的學生設備。
一天後,學生公布了他之前發送給新加坡教育部的漏洞詳情,該部自 2020 年以來一直是 Mobile Guardian 的重要客戶。
在 Reddit 的帖子中,該學生稱他在 Mobile Guardian 發現的安全漏洞賦予任何登錄用戶“超級管理員”訪問權限到公司的用戶管理系統。學生指出,一個惡意人士可以使用這個訪問權限執行一些僅供學校管理員執行的動作,包括“重置每個人的個人學習設備”,他表示。
學生寫道,他在5月30日向新加坡教育部報告了這個問題。三週後,該部回复學生說,這個漏洞“不再是問題”,但拒絕向他進一步披露任何詳情,稱“商業敏感性”,根據 TechCrunch 看到的電子郵件。
當 TechCrunch 聯繫到該部時,發言人 Christopher Lee 確認他們已收到這名安全研究人員的漏洞報告,並表示“這個漏洞已被視為較早的安全篩查的一部分被修復”。
“儘管如此,我們知道網絡威脅可能會快速發展並發現新的漏洞,”發言人表示,並補充說教育部“認為此類漏洞披露嚴重,將進行徹底調查。”
漏洞可在任何瀏覽器中被利用
該學生向 TechCrunch 描述這個漏洞為一個客戶端特權升級漏洞,允許任何上網的人使用瀏覽器内置工具創建一個新的 Mobile Guardian 用戶帳戶,並獲得極高級別的系統訪問權限。這是因為據稱 Mobile Guardian 的伺服器未執行正確的安全檢查,並信任來自用戶瀏覽器的響應。
該漏洞意味著服務器可以被欺騙接受用戶帳戶的更高級別系統訪問權限,方法是通過修改瀏覽器中的網絡流量。
TechCrunch 提供了一段影片——於透露當天 5 月 30 日錄製——展示了漏洞的工作原理。該影片顯示用戶只需使用瀏覽器內置工具修改包含用戶角色的網絡流量,即可創建一個“超級管理員”帳戶,將該帳戶的訪問權限從“管理員”提升為“超級管理員”。
影片顯示服務器接受了修改後的網絡請求,當以新創建的“超級管理員”用戶帳戶登錄時,該帳戶獲得訪問一個顯示 Mobile Guardian 注冊學校清單的儀表板。
Mobile Guardian CEO Patrick Lawson 在出版前並未回覆多次請求評論,包括針對學生漏洞報告以及公司是否修復漏洞的問題。
在我們聯繫了 Lawson 後,公司更新了其聲明如下:“對 Mobile Guardian 平台先前漏洞的內部和第三方調查確認已經解決,不再存在風險”。
這是今年第二起發生在 Mobile Guardian 的安全事件。今年 4 月,新加坡教育部證實該公司的管理門戶遭受了黑客攻擊,成百上千所新加坡學校的家長和教職員的個人信息遭受破壞。教育部歸咎於 Mobile Guardian 的鬆散密碼策略,而不是其系統中的漏洞。
您對 Mobile Guardian 網絡攻擊了解更多嗎?您受到影響嗎?請聯繫我們。您可以通過 Signal 和 WhatsApp 聯繫這名記者,電話號碼為 +1 646-755-8849,或發送電子郵件。您可以通過 SecureDrop 發送文件和文檔。
