Une personne prétendant être un étudiant à Singapour a publié publiquement des documents montrant une Sécurité laxiste dans un service de gestion d’appareils mobiles scolaires très populaire appelé Mobile Guardian, quelques semaines avant qu’une cyberattaque contre l’entreprise n’entraîne l’effacement massif des appareils des étudiants et des perturbations généralisées.
Dans un e-mail envoyé à TechCrunch, l’étudiant – qui a refusé de donner son nom par crainte de représailles juridiques – a déclaré qu’il avait signalé le bogue au gouvernement singapourien par e-mail à la fin du mois de mai, mais qu’il ne pouvait pas être sûr que le bogue ait été corrigé. Le gouvernement singapourien a déclaré à fr.techtribune.netque le bogue avait été corrigé avant la cyberattaque de Mobile Guardian le 4 août, mais l’étudiant a déclaré que le bogue était si facile à trouver et trivial à exploiter pour un attaquant non sophistiqué, qu’il craint qu’il n’y ait d’autres vulnérabilités d’une exploitabilité similaire.
La société britannique Mobile Guardian, qui fournit des logiciels de gestion des appareils des élèves dans des milliers d’écoles à travers le monde, a révélé la violation le 4 août et a fermé sa plate-forme pour bloquer l’accès malveillant, mais pas avant que l’intrus n’ait utilisé leur accès pour effacer à distance des milliers d’appareils d’élèves.
Un jour plus tard, l’étudiant a publié les détails de la vulnérabilité qu’il avait précédemment envoyée au ministère singapourien de l’Éducation, un CLIENT MAJEUR de Mobile Guardian depuis 2020.
Dans un Publication Reddit, l’étudiant a déclaré que le bogue de sécurité qu’il a trouvé dans Mobile Guardian accordait à tout utilisateur connecté un accès « super administrateur » au système de gestion des utilisateurs de l’entreprise. Avec cet accès, a déclaré l’étudiant, une personne malveillante pourrait effectuer des actions réservées aux administrateurs de l’école, y compris la capacité de « réinitialiser l’appareil d’apprentissage personnel de chaque personne », a-t-il déclaré.
L’étudiant a écrit qu’il avait signalé le problème au ministère singapourien de l’Éducation le 30 mai. Trois semaines plus tard, le ministère a répondu à l’étudiant en disant que la faille n’était « plus une préoccupation », mais a refusé de partager plus de détails avec lui, invoquant une « sensibilité commerciale », selon l’e-mail consulté par TechCrunch.
Contacté par TechCrunch, le ministère a confirmé qu’il avait été informé du bug par le chercheur en sécurité, et que « la vulnérabilité avait été détectée dans le cadre d’un précédent contrôle de sécurité et avait déjà été corrigée », selon le porte-parole Christopher Lee.
« Nous avons également confirmé que l’exploit divulgué n’était plus utilisable après le correctif. En juin, un testeur d’intrusion indépendant certifié a mené une évaluation plus approfondie, et aucune vulnérabilité de ce type n’a été détectée », a déclaré le porte-parole.
« Néanmoins, nous sommes conscients que les cybermenaces peuvent évoluer rapidement et que de nouvelles vulnérabilités peuvent être découvertes », a déclaré le porte-parole, ajoutant que le ministère « prend au sérieux ces divulgations de vulnérabilités et les enquêtera de manière approfondie ».
L’étudiant a décrit le bogue à fr.techtribune.netcomme une vulnérabilité d’élévation de privilèges côté client, qui permettait à n’importe qui sur Internet de créer un nouveau compte utilisateur Mobile Guardian avec un niveau d’accès au système extrêmement élevé en utilisant uniquement les outils de son navigateur Web. En effet, les serveurs de Mobile Guardian n’effectuaient pas les contrôles de sécurité appropriés et ne faisaient pas confiance aux réponses du navigateur de l’utilisateur.
Le bogue signifiait que le serveur pouvait être amené à accepter le niveau supérieur d’accès au système pour le compte d’un utilisateur en modifiant le trafic réseau dans le navigateur.
fr.techtribune.neta reçu une vidéo – enregistrée le 30 mai, le jour de la divulgation – montrant comment fonctionne le bogue. La vidéo montre l’utilisateur créant un compte « super admin » en utilisant uniquement les outils intégrés du navigateur pour modifier le trafic réseau contenant le rôle de l’utilisateur afin d’élever l’accès à ce compte de « admin » à « super admin ».
La vidéo montrait le serveur acceptant la demande de réseau modifiée et, une fois connecté en tant que compte utilisateur « super admin » nouvellement créé, il accordait l’accès à un tableau de bord affichant les listes des écoles inscrites à Mobile Guardian.
Le PDG de Mobile Guardian, Patrick Lawson, n’a pas répondu aux multiples demandes de commentaires avant la publication, y compris les questions sur le rapport de vulnérabilité de l’étudiant et si la société avait corrigé le bogue.
Après avoir contacté Lawson, la société a mis à jour sa déclaration comme suit : « Il est confirmé que les enquêtes internes et de tiers sur les vulnérabilités précédentes de la plate-forme Mobile Guardian ont été résolues et ne présentent plus de risque. » La déclaration n’a pas précisé quand les failles précédentes ont été résolues et n’a pas explicitement exclu un lien entre les failles précédentes et sa cyberattaque d’août.
C’est Le deuxième incident de sécurité qui va assaillir Mobile Guardian cette année. En avril, le ministère singapourien de l’Éducation a confirmé que le portail de gestion de l’entreprise avait été piraté et que les informations personnelles des parents et du personnel scolaire de centaines d’écoles à Singapour avaient été compromises. Le ministère ont attribué l’atteinte à la politique laxiste de Mobile Guardian en matière de mots de passe, plutôt qu’à une vulnérabilité dans ses systèmes.
En savez-vous plus sur la cyberattaque de Mobile Guardian ? Êtes-vous concerné ? Contactez-nous. Vous pouvez contacter ce journaliste sur Signal et WhatsApp au +1 646-755-8849, ou par e-mail. Vous pouvez envoyer des fichiers et des documents via SecureDrop.
[ad_2]
