Một người tự xưng là sinh viên tại Singapore đã công khai đăng tài liệu cho thấy sự lỏng lẻo trong bảo mật của dịch vụ quản lý thiết bị di động của trường học phổ biến gọi là Mobile Guardian, vài tuần trước khi một vụ tấn công mạng vào công ty dẫn đến việc xóa sạch thiết bị của sinh viên và gây ra sự rối loạn lan rộng.
Trong một email với TechCrunch, sinh viên này - người từ chối tiết lộ tên vì sợ bị trả thù pháp lý - cho biết anh đã báo cáo lỗi cho chính phủ Singapore qua email vào cuối tháng 5 nhưng không thể chắc chắn rằng lỗi đã được sửa. Chính phủ Singapore cho biết lỗi đã được khắc phục trước vụ tấn công mạng của Mobile Guardian vào ngày 4 tháng 8, nhưng sinh viên này cho biết rằng lỗi quá dễ tìm thấy và dễ bị khai thác bởi một kẻ tấn công không tinh vi, anh lo sợ rằng có thêm những lỗ hổng tương tự cũng dễ bị khai thác.
Mobile Guardian có trụ sở tại Anh, cung cấp phần mềm quản lý thiết bị cho sinh viên trong hàng ngàn trường học trên toàn thế giới, đã tiết lộ vụ vi phạm vào ngày 4 tháng 8 và đóng nền tảng để ngăn chặn việc truy cập độc hại, nhưng không phải trước khi kẻ xâm nhập sử dụng quyền truy cập của họ để xóa sạch hàng ngàn thiết bị của sinh viên.
Một ngày sau đó, sinh viên đăng thông tin về lỗ hổng mà anh trước đó đã gửi cho Bộ Giáo dục Singapore, một trong những khách hàng chính của Mobile Guardian từ năm 2020.
Trong một bài đăng trên Reddit, sinh viên nói rằng lỗi bảo mật mà anh tìm thấy trong Mobile Guardian cho phép bất kỳ người dùng đã đăng nhập nào cũng có quyền truy cập 'siêu quản trị' vào hệ thống quản lý người dùng của công ty. Với quyền truy cập đó, sinh viên nói, một người có ý định xấu có thể thực hiện các hành động dành cho các quản trị viên trường học, bao gồm khả năng 'đặt lại thiết bị học tập cá nhân của mọi người', anh nói.
Sinh viên viết rằng anh đã báo cáo vấn đề cho Bộ giáo dục Singapore vào ngày 30 tháng 5. Ba tuần sau, bộ phận này đã trả lời sinh viên rằng lỗ hổng 'không còn đáng lo ngại nữa', nhưng từ chối chia sẻ bất kỳ chi tiết nào khác với anh, dẫn đến 'nhạy cảm về mặt thương mại', theo email được TechCrunch thấy.
Khi được TechCrunch liên hệ, bộ giáo dục xác nhận đã nhận được thông tin về lỗi từ nhà nghiên cứu bảo mật và rằng 'lỗ hổng đã được phát hiện trong một cuộc kiểm tra an ninh trước đó và đã được vá', theo người phát ngôn Christopher Lee.
'Chúng tôi cũng xác nhận rằng exploit đã được đề xuất không còn có thể hoạt động sau khi vá. Vào tháng 6, một người kiểm tra xâm nhập được chứng nhận độc lập đã tiến hành một đánh giá tiếp theo và không phát hiện thấy lỗ hổng nào tương tự,' người phát ngôn nói.
'Tuy nhiên, chúng tôi lưu ý rằng các mối đe dọa mạng có thể phát triển nhanh chóng và có thể phát hiện lỗ hổng mới,' người phát ngôn nói thêm, cho biết bộ giáo dục 'đánh giá mức độ nghiêm trọng của việc tiết lộ lỗ hổng như vậy và sẽ điều tra chúng một cách kỹ lưỡng.'
Lỗi có thể khai thác trong trình duyệt của bất kỳ ai
Sinh viên mô tả lỗi cho TechCrunch như một lỗ hổng nâng cao quyền hạn phía máy khách, cho phép bất kỳ ai trên internet tạo một tài khoản người dùng mới trên Mobile Guardian với một mức độ truy cập hệ thống cực kỳ cao chỉ bằng cách sử dụng các công cụ trong trình duyệt web của họ. Điều này bởi vì máy chủ Mobile Guardian dường như không thực hiện các kiểm tra bảo mật đúng và tin tưởng vào các phản hồi từ trình duyệt của người dùng.
Lỗi này có nghĩa là máy chủ có thể bị đánh lừa để chấp nhận mức độ truy cập hệ thống cao hơn cho tài khoản người dùng bằng cách sửa đổi lưu lượng mạng trong trình duyệt.
TechCrunch được cung cấp một video - được ghi lại vào ngày 30 tháng 5, ngày công bố - thể hiện cách lỗi hoạt động. Video cho thấy người dùng tạo một tài khoản 'siêu quản trị' chỉ bằng cách sử dụng các công cụ có sẵn trong trình duyệt để chỉnh sửa lưu lượng mạng chứa vai trò của người dùng để nâng cao quyền truy cập của tài khoản đó từ 'quản trị viên' lên 'siêu quản trị'.
Video cho thấy máy chủ chấp nhận yêu cầu mạng đã được sửa đổi, và khi đăng nhập bằng tài khoản 'siêu quản trị' mới được tạo ra đó, truy cập vào thành phần giao diện hiển thị danh sách các trường đã đăng ký của Mobile Guardian.
Giám đốc điều hành của Mobile Guardian Patrick Lawson không trả lời các yêu cầu bình luận của nhiều lần yêu cầu trước khi xuất bản, bao gồm cả câu hỏi về báo cáo lỗ hổng của sinh viên và liệu công ty đã sửa lỗi không.
Sau khi chúng tôi liên hệ Lawson, công ty đã cập nhật tuyên bố của mình như sau: 'Các cuộc điều tra nội bộ và của bên thứ ba về các lỗ hổng trước đây của Nền tảng Mobile Guardian được xác nhận đã được giải quyết và không còn gây ra rủi ro.' Tuyên bố không nói lời rõ ràng về việc các lỗi trước đó đã được giải quyết vào lúc nào cũng như không loại trừ một liên kết giữa các lỗi trước đó và vụ tấn công mạng vào tháng 8.
Đây là vụ việc bảo mật thứ hai ảnh hưởng đến Mobile Guardian trong năm nay. Vào tháng 4, bộ giáo dục Singapore xác nhận nền tảng quản lý của công ty đã bị hack và thông tin cá nhân của phụ huynh và nhân viên trường học từ hàng trăm trường ở Singapore đã bị lộ. Bộ giáo dục đổ lỗi vụ việc vào chính sách mật khẩu lỏng lẻo của Mobile Guardian, chứ không phải là một lỗ hổng trong hệ thống của họ.
Bạn có thông tin thêm về vụ tấn công mạng vào Mobile Guardian không? Bạn bị ảnh hưởng không? Hãy liên hệ với chúng tôi. Bạn có thể liên hệ với phóng viên này qua Signal và WhatsApp theo số +1 646-755-8849, hoặc qua email. Bạn có thể gửi file và tài liệu qua SecureDrop.
