Một người tự nhận là sinh viên tại Singapore đã công khai đăng tải tài liệu cho thấy tính bảo mật lỏng lẻo trong một dịch vụ quản lý thiết bị di động phổ biến tại trường học có tên là Mobile Guardian, vài tuần trước khi xảy ra cuộc tấn công mạng vào công ty khiến nhiều thiết bị của học sinh bị xóa sạch và gây gián đoạn trên diện rộng.
Trong một email gửi TechCrunch, sinh viên — người từ chối cung cấp tên vì sợ bị trả thù về mặt pháp lý — cho biết anh đã báo cáo lỗi này với chính phủ Singapore qua email vào cuối tháng 5 nhưng không chắc chắn rằng lỗi này đã được sửa. Chính phủ Singapore nói với TechCrunch rằng lỗi này đã được sửa trước cuộc tấn công mạng của Mobile Guardian vào ngày 4 tháng 8, nhưng sinh viên này cho biết lỗi này rất dễ tìm và dễ khai thác đối với một kẻ tấn công không tinh vi, anh lo ngại rằng có nhiều lỗ hổng có khả năng khai thác tương tự.
Mobile Guardian có trụ sở tại Anh, cung cấp phần mềm quản lý thiết bị cho học sinh tại hàng nghìn trường học trên khắp thế giới, đã tiết lộ vụ vi phạm vào ngày 4 tháng 8 và đóng nền tảng của mình để chặn truy cập độc hại, nhưng trước đó, kẻ xâm nhập đã sử dụng quyền truy cập của mình để xóa hàng nghìn thiết bị của học sinh từ xa.
Một ngày sau, sinh viên này đã công bố thông tin chi tiết về lỗ hổng bảo mật mà anh đã gửi trước đó cho Bộ Giáo dục Singapore, một khách hàng lớn của Mobile Guardian kể từ năm 2020.
Trong một bài đăng trên Reddit, sinh viên này cho biết lỗi bảo mật mà anh tìm thấy trong Mobile Guardian cấp cho bất kỳ người dùng nào đã đăng nhập quyền truy cập “siêu quản trị viên” vào hệ thống quản lý người dùng của công ty. Với quyền truy cập đó, sinh viên này cho biết, một kẻ xấu có thể thực hiện các hành động dành riêng cho quản trị viên trường học, bao gồm khả năng “đặt lại thiết bị học tập cá nhân của mọi người”, anh cho biết.
Sinh viên này viết rằng anh đã báo cáo vấn đề này với Bộ Giáo dục Singapore vào ngày 30 tháng 5. Ba tuần sau, Bộ này trả lời sinh viên rằng lỗi này “không còn là vấn đề đáng lo ngại nữa”, nhưng từ chối chia sẻ thêm bất kỳ thông tin chi tiết nào với anh, với lý do “nhạy cảm về mặt thương mại”, theo email mà TechCrunch đã xem.
Khi TechCrunch liên hệ, bộ này xác nhận đã nhận được thông tin về lỗi này từ nhà nghiên cứu bảo mật và rằng “lỗ hổng bảo mật này đã được phát hiện trong quá trình kiểm tra bảo mật trước đó và đã được vá”, theo người phát ngôn Christopher Lee.
“Chúng tôi cũng xác nhận rằng lỗ hổng được tiết lộ không còn khả thi sau bản vá. Vào tháng 6, một chuyên gia kiểm tra xâm nhập được chứng nhận độc lập đã tiến hành đánh giá thêm và không phát hiện ra lỗ hổng nào như vậy”, người phát ngôn cho biết.
“Tuy nhiên, chúng tôi lưu ý rằng các mối đe dọa mạng có thể phát triển nhanh chóng và các lỗ hổng mới có thể được phát hiện”, người phát ngôn cho biết, đồng thời nói thêm rằng bộ “coi trọng các tiết lộ về lỗ hổng như vậy và sẽ điều tra kỹ lưỡng”.
Lỗi có thể khai thác trong trình duyệt của bất kỳ ai
Sinh viên mô tả lỗi này với TechCrunch là lỗ hổng leo thang đặc quyền phía máy khách, cho phép bất kỳ ai trên internet tạo tài khoản người dùng Mobile Guardian mới với mức truy cập hệ thống cực cao chỉ bằng các công cụ trong trình duyệt web của họ. Điều này là do máy chủ của Mobile Guardian bị cáo buộc không thực hiện kiểm tra bảo mật phù hợp và không tin tưởng phản hồi từ trình duyệt của người dùng.
Lỗi này có nghĩa là máy chủ có thể bị lừa chấp nhận cấp quyền truy cập hệ thống cao hơn cho tài khoản người dùng bằng cách sửa đổi lưu lượng mạng trong trình duyệt.
TechCrunch đã được cung cấp một video — được ghi lại vào ngày 30 tháng 5, ngày công bố — chứng minh cách lỗi hoạt động. Video cho thấy người dùng tạo một tài khoản “siêu quản trị viên” chỉ sử dụng các công cụ tích hợp của trình duyệt để sửa đổi lưu lượng mạng chứa vai trò của người dùng để nâng quyền truy cập của tài khoản đó từ “quản trị viên” lên “siêu quản trị viên”.
Video cho thấy máy chủ chấp nhận yêu cầu mạng đã sửa đổi và khi đăng nhập với tư cách là tài khoản người dùng “siêu quản trị viên” mới tạo, máy chủ sẽ cấp quyền truy cập vào bảng điều khiển hiển thị danh sách các trường đã đăng ký Mobile Guardian.
Tổng giám đốc điều hành của Mobile Guardian, Patrick Lawson đã không trả lời nhiều yêu cầu bình luận trước khi công bố, bao gồm các câu hỏi về báo cáo lỗ hổng bảo mật của sinh viên và liệu công ty có sửa lỗi hay không.
Sau khi chúng tôi liên hệ với Lawson, công ty đã cập nhật tuyên bố của mình như sau: “Các cuộc điều tra nội bộ và của bên thứ ba về các lỗ hổng trước đây của Nền tảng Mobile Guardian đã được xác nhận là đã được giải quyết và không còn gây ra rủi ro nữa”. Tuyên bố không nêu rõ thời điểm các lỗ hổng trước đó được giải quyết cũng như không loại trừ rõ ràng mối liên hệ giữa các lỗ hổng trước đó và cuộc tấn công mạng vào tháng 8.
Đây là sự cố bảo mật thứ hai xảy ra với Mobile Guardian trong năm nay. Vào tháng 4, Bộ giáo dục Singapore đã xác nhận cổng thông tin quản lý của công ty đã bị tấn công và thông tin cá nhân của phụ huynh và nhân viên nhà trường từ hàng trăm trường học trên khắp Singapore đã bị xâm phạm. Bộ này cho rằng sự cố này là do chính sách mật khẩu lỏng lẻo của Mobile Guardian, chứ không phải do lỗ hổng trong hệ thống của công ty.
Bạn có biết thêm về cuộc tấn công mạng Mobile Guardian không? Bạn có bị ảnh hưởng không? Hãy liên hệ. Bạn có thể liên hệ với phóng viên này trên Signal và WhatsApp theo số +1 646-755-8849 hoặc qua email. Bạn có thể gửi tệp và tài liệu qua SecureDrop.