Singapur’da öğrenci olduğunu iddia eden bir kişi, Mobile Guardian adlı okul mobil cihaz yönetim servisinin güvenliğindeki gevşekliği gösteren belgeleri kamuoyuna yayınladı. Şirkete yapılan siber saldırı, öğrenci cihazlarının toplu olarak silinmesine ve yaygın bir kesintiye yol açtı.
TechCrunch’a gönderdiği bir e-postada, yasal misilleme korkusu nedeniyle ismini vermekten kaçınan öğrenci, hatayı Mayıs ayı sonlarında Singapur hükümetine e-posta ile bildirdiğini ancak hatanın düzeltildiğinden emin olamadığını söyledi. Singapur hükümeti TechCrunch’a, hatanın Mobile Guardian’ın 4 Ağustos’taki siber saldırısından önce düzeltildiğini söyledi ancak öğrenci, hatanın bulunmasının çok kolay ve deneyimsiz bir saldırganın istismar etmesi için önemsiz olduğunu ve benzer istismar edilebilirliğe sahip daha fazla güvenlik açığı olduğundan korktuğunu söyledi.
Dünya çapında binlerce okula öğrenci cihaz yönetimi yazılımı sağlayan İngiltere merkezli Mobile Guardian, 4 Ağustos’ta ihlali duyurdu ve kötü amaçlı erişimi engellemek için platformunu kapattı; ancak saldırgan, binlerce öğrenci cihazını uzaktan silmek için erişimini kullanmadan önce değil.
Bir gün sonra öğrenci, daha önce Singapur Eğitim Bakanlığı’na gönderdiği güvenlik açığının ayrıntılarını yayınladı. büyük müşteri 2020’den beri Mobile Guardian’da.
Birinde Reddit gönderisiÖğrenci, Mobile Guardian’da bulduğu güvenlik açığının, oturum açmış her kullanıcıya şirketin kullanıcı yönetim sistemine “süper yönetici” erişimi verdiğini söyledi. Öğrenci, bu erişimle kötü niyetli bir kişinin, “herkesin kişisel öğrenme cihazını sıfırlama” yeteneği de dahil olmak üzere okul yöneticilerine ayrılmış eylemleri gerçekleştirebileceğini söyledi.
Öğrenci, sorunu 30 Mayıs’ta Singapur Eğitim Bakanlığı’na bildirdiğini yazdı. TechCrunch’ın gördüğü e-postaya göre, bakanlık üç hafta sonra öğrenciye kusurun “artık bir endişe kaynağı olmadığını” söyleyerek yanıt verdi ancak “ticari hassasiyet” gerekçesiyle kendisiyle daha fazla ayrıntı paylaşmayı reddetti.
TechCrunch’a ulaşan bakanlık, güvenlik araştırmacısından hatayla ilgili bilgi aldığını ve sözcü Christopher Lee’ye göre “güvenlik açığının daha önceki bir güvenlik taramasının parçası olarak tespit edildiğini ve daha önce düzeltildiğini” doğruladı.
Sözcü, “Ayrıca açıklanan istismarın yamadan sonra artık çalışmadığını da doğruladık. Haziran ayında, bağımsız bir sertifikalı penetrasyon test uzmanı daha ileri bir değerlendirme yaptı ve böyle bir güvenlik açığı tespit edilmedi” dedi.
Sözcü, “Bununla birlikte, siber tehditlerin hızla gelişebileceğinin ve yeni güvenlik açıklarının keşfedilebileceğinin farkındayız” dedi ve bakanlığın “bu tür güvenlik açığı ifşalarını ciddiye aldığını ve bunları kapsamlı bir şekilde araştıracağını” sözlerine ekledi.
Herkesin tarayıcısında istismar edilebilecek bir hata
Öğrenci, TechCrunch’a hatayı, internetteki herkesin yalnızca web tarayıcısındaki araçları kullanarak son derece yüksek düzeyde sistem erişimiyle yeni bir Mobile Guardian kullanıcı hesabı oluşturmasına izin veren bir istemci tarafı ayrıcalık yükseltme güvenlik açığı olarak tanımladı. Bunun nedeni, Mobile Guardian sunucularının uygun güvenlik kontrollerini gerçekleştirmemesi ve kullanıcının tarayıcısından gelen yanıtları güvenilir bulmamasıydı.
Bu hata, tarayıcıdaki ağ trafiğini değiştirerek sunucunun, bir kullanıcının hesabına daha yüksek düzeyde sistem erişimini kabul etmesi için kandırılabilmesi anlamına geliyordu.
TechCrunch’a, hatanın nasıl çalıştığını gösteren bir video sağlandı — ifşa günü olan 30 Mayıs’ta kaydedildi. Videoda, kullanıcının, kullanıcının rolünü içeren ağ trafiğini değiştirmek için yalnızca tarayıcının yerleşik araçlarını kullanarak bir “süper yönetici” hesabı oluşturduğu ve bu hesabın erişimini “yönetici”den “süper yönetici”ye yükselttiği gösteriliyor.
Videoda sunucunun değiştirilen ağ isteğini kabul ettiği ve yeni oluşturulan “süper yönetici” kullanıcı hesabıyla oturum açıldığında, Mobile Guardian’a kayıtlı okulların listelerini gösteren bir panoya erişim izni verildiği görülüyor.
Mobile Guardian CEO’su Patrick Lawson, yayın öncesinde öğrencinin güvenlik açığı raporu ve şirketin hatayı düzeltip düzeltmediği hakkındaki sorular da dahil olmak üzere çok sayıda yorum talebine yanıt vermedi.
Lawson ile iletişime geçmemizin ardından şirket açıklamasını şu şekilde güncelledi: “Mobil Guardian Platformunun önceki güvenlik açıklarına yönelik dahili ve üçüncü taraf soruşturmalarının çözüldüğü ve artık bir risk oluşturmadığı doğrulandı.” Açıklamada önceki kusurların ne zaman giderildiği belirtilmedi ve açıklamada önceki kusurlar ile Ağustos ayındaki siber saldırı arasındaki bağlantı açıkça reddedilmedi.
Bu ikinci güvenlik olayı bu yıl Mobile Guardian’ı rahatsız edecek. Nisan ayında, Singapur eğitim bakanlığı şirketin yönetim portalının hacklendiğini ve Singapur genelindeki yüzlerce okuldan velilerin ve okul personelinin kişisel bilgilerinin tehlikeye atıldığını doğruladı. Bakanlık ihlali atfetti Bu, sistemlerindeki bir güvenlik açığından ziyade Mobile Guardian’ın gevşek şifre politikasından kaynaklanıyor.
Mobile Guardian siber saldırısı hakkında daha fazla bilginiz var mı? Etkilendiniz mi? İletişime geçin. Bu muhabire Signal ve WhatsApp üzerinden +1 646-755-8849 numarasından veya e-posta yoluyla ulaşabilirsiniz. Dosyaları ve belgeleri SecureDrop aracılığıyla gönderebilirsiniz.