学生在Mobile Guardian MDM遭受网络攻击前数周提出安全问题

一名声称在新加坡的学生公开发布了文件,显示广受欢迎的学校移动设备管理服务Mobile Guardian存在安全漏洞,而在该公司遭受网络攻击并导致学生设备被大规模擦除和广泛瘫痪前数周他曾提出了这些问题。

在与TechCrunch的电子邮件中,这名学生称自己于五月下旬通过电子邮件向新加坡政府报告了该漏洞,但由于担心法律报复而拒绝透露姓名。新加坡政府告诉TechCrunch,在Mobile Guardian于8月4日遭受网络攻击之前,该漏洞已得到修复。但该学生表示,这个漏洞太容易被发现,对一个没有经验的攻击者来说可以轻易利用,因此他担心还存在类似易受攻击的漏洞。

总部位于英国的Mobile Guardian在全球数千所学校提供学生设备管理软件,于8月4日披露了这次入侵事件,并关闭了其平台以阻止恶意访问,但入侵者在之前使用其访问权限远程擦除了成千上万名学生的设备。

一天后,这名学生公布了他之前发送给新加坡教育部的漏洞详细信息,该部门自2020年以来一直是Mobile Guardian的主要客户。

在Reddit上的帖子中,这名学生表示他在Mobile Guardian发现的安全漏洞允许任何已登录用户获得“超级管理员”对公司用户管理系统的访问权限。据他说,一个恶意人员使用这个访问权限可以执行一些保留给学校管理员的操作,包括“重置每个人的个人学习设备”。

学生写道,他于5月30日向新加坡教育部报告了这个问题。三周后,教育部回复学生说,这个漏洞“不再是一个问题”,但拒绝向他提供进一步信息,称这涉及“商业敏感性”,TechCrunch所见的电子邮件显示。

教育部发言人Christopher Lee表示,当TechCrunch联系到教育部时,教育部确认已收到这位安全研究员的反馈,并“该漏洞已作为早期安全筛查的一部分被发现,并已得到修复”。

发言人表示:“我们还确认,补丁后披露的漏洞已不再起作用。六月份,一家独立认证的渗透测试员进行了进一步评估,没有发现此类漏洞。”

“然而,我们意识到网络威胁可能会迅速发展,可能会发现新的漏洞,”发言人表示,并补充说,教育部“认真对待此类漏洞披露,并将进行彻底调查。”

任何人的浏览器中都可以利用的漏洞

这名学生将这个漏洞描述给TechCrunch,是一种客户端特权升级漏洞,允许任何人在互联网上只使用其浏览器内置工具就创建一个拥有极高系统访问级别的新Mobile Guardian用户账户。这是因为Mobile Guardian的服务器据称未执行正确的安全检查,而是信任用户浏览器中的响应。

这个漏洞意味着服务器可以被欺骗接受用户账户的更高系统访问级别,通过修改浏览器中的网络流量。

TechCrunch收到了一段录制于5月30日的视频演示漏洞工作原理。视频显示,用户只需使用浏览器内置工具修改包含用户角色的网络流量,就可以创建一个“超级管理员”账户,将该账户的访问权限从“管理员”提升为“超级管理员”。

视频显示服务器接受了修改后的网络请求,当以新创建的“超级管理员”用户账户登录时,将获得显示Mobile Guardian注册学校列表的仪表板的访问权限。

Mobile Guardian CEO Patrick Lawson在出版前未回复多次的评论请求,包括关于学生的漏洞报告以及公司是否修复了漏洞的问题。

在联系劳森后,公司更新了其声明如下:“对Mobile Guardian平台先前的漏洞进行的内部和第三方调查证实已经得到解决,不再构成风险。”声明未说明先前的缺陷何时得到解决,也没有明确排除先前的缺陷与其8月份的网络攻击之间的联系。

这是Mobile Guardian今年遭受的第二起安全事件。今年四月,新加坡教育部证实该公司的管理门户遭到黑客攻击,数百所新加坡学校的家长和教职员工的个人信息遭到泄露。部门将此次入侵归因于Mobile Guardian的密码政策不严格,而不是其系统的漏洞。


您了解有关Mobile Guardian网络攻击的更多信息吗?您受到了影响吗?请联系这位记者,您可以通过Signal和WhatsApp联系+1 646-755-8849,也可以通过电子邮件联系。您可以通过SecureDrop发送文件和文档。