Un étudiant a soulevé des problèmes de sécurité dans Mobile Guardian MDM quelques semaines avant la cyberattaque

Durée de lecture : environ 5 minutes


Une personne prétendant être un étudiant à Singapour a publié publiquement des documents montrant une sécurité laxiste dans un service de gestion d’appareils mobiles scolaires très populaire appelé Mobile Guardian, des semaines avant un cyberattaque sur l’entreprise Cela a entraîné l’effacement massif des appareils des étudiants et des perturbations généralisées.

Dans un courriel adressé à TechCrunch, l’étudiant, qui a refusé de donner son nom par crainte de représailles judiciaires, a déclaré avoir signalé le bug au gouvernement singapourien par courrier électronique fin mai, mais ne pouvait pas être sûr que le bug ait été corrigé. Le gouvernement singapourien a déclaré à TechCrunch que le bug avait été corrigé avant la cyberattaque de Mobile Guardian le 4 août, mais l’étudiant a déclaré que le bug était si facile à trouver et si facile à exploiter pour un attaquant peu averti qu’il craint qu’il existe d’autres vulnérabilités d’une exploitabilité similaire.

Mobile Guardian, basé au Royaume-Uni, qui fournit des logiciels de gestion des appareils des étudiants dans des milliers d’écoles à travers le monde, a révélé la violation le 4 août et a fermé sa plateforme pour bloquer l’accès malveillant, mais pas avant que l’intrus n’ait utilisé son accès pour effacer à distance des milliers d’appareils d’étudiants.

Un jour plus tard, l’étudiant a publié les détails de la vulnérabilité qu’il avait précédemment envoyée au ministère de l’Éducation de Singapour, un client majeur de Mobile Guardian depuis 2020.

Dans un Publication sur RedditL’étudiant a déclaré que le bug de sécurité qu’il a trouvé dans Mobile Guardian accordait à tout utilisateur connecté un accès « super administrateur » au système de gestion des utilisateurs de l’entreprise. Avec cet accès, a déclaré l’étudiant, une personne malveillante pourrait effectuer des actions réservées aux administrateurs de l’école, y compris la possibilité de « réinitialiser l’appareil d’apprentissage personnel de chaque personne », a-t-il déclaré.

LIRE AUSSI  CloudPay, un fournisseur de services de paie, obtient un nouveau financement de 120 millions de dollars

L’étudiant a écrit qu’il avait signalé le problème au ministère de l’Éducation de Singapour le 30 mai. Trois semaines plus tard, le ministère a répondu à l’étudiant en disant que la faille n’était « plus un problème », mais a refusé de partager d’autres détails avec lui, invoquant une « sensibilité commerciale », selon l’e-mail consulté par TechCrunch.

Contacté par TechCrunch, le ministère a confirmé avoir été informé du bug par le chercheur en sécurité, et que « la vulnérabilité avait été détectée dans le cadre d’un contrôle de sécurité antérieur, et avait déjà été corrigée », selon le porte-parole Christopher Lee.

« Nous avons également confirmé que l’exploit divulgué n’était plus exploitable après l’application du correctif. En juin, un testeur de pénétration certifié indépendant a mené une évaluation plus approfondie et aucune vulnérabilité de ce type n’a été détectée », a déclaré le porte-parole.

« Néanmoins, nous sommes conscients que les cybermenaces peuvent évoluer rapidement et que de nouvelles vulnérabilités peuvent être découvertes », a déclaré le porte-parole, ajoutant que le ministère « prend au sérieux ces divulgations de vulnérabilités et les enquêtera de manière approfondie ».

Bug exploitable dans le navigateur de n’importe qui

L’étudiant a décrit le bug à TechCrunch comme une vulnérabilité d’escalade de privilèges côté client, qui permettait à n’importe qui sur Internet de créer un nouveau compte utilisateur Mobile Guardian avec un niveau d’accès système extrêmement élevé en utilisant uniquement les outils de son navigateur Web. Cela était dû au fait que les serveurs de Mobile Guardian n’effectuaient pas les contrôles de sécurité appropriés et ne faisaient pas confiance aux réponses du navigateur de l’utilisateur.

LIRE AUSSI  La poignée de main secrète entre le marketing et les ventes

Le bug signifiait que le serveur pouvait être amené à accepter le niveau d’accès système supérieur pour le compte d’un utilisateur en modifiant le trafic réseau dans le navigateur.

TechCrunch a reçu une vidéo — enregistrée le 30 mai, le jour de la divulgation — illustrant le fonctionnement du bug. La vidéo montre l’utilisateur créant un compte « super administrateur » en utilisant uniquement les outils intégrés du navigateur pour modifier le trafic réseau contenant le rôle de l’utilisateur afin d’élever l’accès de ce compte de « administrateur » à « super administrateur ».

La vidéo a montré le serveur acceptant la demande de réseau modifiée et, une fois connecté en tant que compte d’utilisateur « super administrateur » nouvellement créé, accordant l’accès à un tableau de bord affichant des listes d’écoles inscrites à Mobile Guardian.

Le PDG de Mobile Guardian, Patrick Lawson, n’a pas répondu aux multiples demandes de commentaires avant la publication, y compris aux questions sur le rapport de vulnérabilité de l’étudiant et sur la question de savoir si l’entreprise a corrigé le bogue.

Après que nous ayons contacté Lawson, la société a mis à jour sa déclaration comme suit : « Les enquêtes internes et tierces sur les vulnérabilités précédentes de la plateforme Mobile Guardian ont été confirmées comme ayant été résolues et ne présentent plus de risque. » La déclaration n’a pas précisé quand les failles précédentes ont été résolues et n’a pas explicitement exclu un lien entre les failles précédentes et la cyberattaque du mois d’août.

C’est le deuxième incident de sécurité Mobile Guardian a été victime de nombreuses attaques cette année. En avril, le ministère de l’Éducation de Singapour a confirmé que le portail de gestion de l’entreprise avait été piraté et que les informations personnelles des parents et du personnel scolaire de centaines d’écoles à travers Singapour avaient été compromises. attribué la violation à la politique de mot de passe laxiste de Mobile Guardian, plutôt qu’à une vulnérabilité dans ses systèmes.

LIRE AUSSI  L'ABC des tests A/B

En savez-vous plus sur la cyberattaque de Mobile Guardian ? Êtes-vous concerné ? Contactez-nous. Vous pouvez contacter ce journaliste sur Signal et WhatsApp au +1 646-755-8849, ou par email. Vous pouvez envoyer des fichiers et des documents via Dépôt sécurisé.



Source link

Héloïse Morineau

Héloïse Morineau est une journaliste passionnée par l'écriture et la découverte de nouveaux sujets. Avec une expérience de plusieurs années dans le domaine du journalisme, elle a développé une expertise dans la rédaction d'articles de qualité, tant sur des sujets d'actualité que sur des sujets plus spécialisés.

Laisser un commentaire