نشر شخص يدعي أنه طالب في سنغافورة علنًا وثائق تظهر التراخي الأمني في خدمة إدارة الأجهزة المحمولة المدرسية المشهورة على نطاق واسع والتي تسمى Mobile Guardian، قبل أسابيع من الهجوم الإلكتروني على الشركة الذي أدى إلى مسح جماعي لأجهزة الطلاب وتعطيل واسع النطاق.
وفي رسالة بالبريد الإلكتروني مع موقع TechCrunch، قال الطالب – الذي رفض ذكر اسمه خوفًا من الانتقام القانوني – إنه أبلغ الحكومة السنغافورية بالخلل عبر البريد الإلكتروني في أواخر مايو، لكنه لم يكن متأكدًا من إصلاح الخلل على الإطلاق. أخبرت الحكومة السنغافورية موقع TechCrunch أنه تم إصلاح الخلل قبل الهجوم الإلكتروني لشركة Mobile Guardian في 4 أغسطس، لكن الطالب قال إنه كان من السهل جدًا العثور على الخلل وكان تافهًا بالنسبة لمهاجم غير متطور لاستغلاله، لدرجة أنه يخشى أن يكون هناك المزيد من الثغرات الأمنية المماثلة للاستغلال .
كشفت شركة Mobile Guardian ومقرها المملكة المتحدة، والتي توفر برامج إدارة أجهزة الطلاب في آلاف المدارس حول العالم، عن الاختراق في 4 أغسطس وأغلقت نظامها الأساسي لمنع الوصول الضار، ولكن ليس قبل أن يستخدم المتسلل وصوله لمسح الآلاف عن بعد من أجهزة الطلاب.
وبعد يوم واحد، نشر الطالب تفاصيل الثغرة الأمنية التي أرسلها سابقًا إلى وزارة التعليم السنغافورية، وهي عميل رئيسي لشركة Mobile Guardian منذ عام 2020.
وفي منشور على موقع Reddit، قال الطالب إن الخلل الأمني الذي وجده في Mobile Guardian يمنح أي مستخدم مسجل الدخول حق الوصول “المشرف المتميز” إلى نظام إدارة المستخدم الخاص بالشركة. وقال الطالب إنه من خلال هذا الوصول، يمكن لأي شخص خبيث تنفيذ إجراءات مخصصة لمديري المدرسة، بما في ذلك القدرة على “إعادة ضبط جهاز التعلم الشخصي لكل شخص”.
كتب الطالب أنه أبلغ وزارة التعليم السنغافورية بالمشكلة في 30 مايو. وبعد ثلاثة أسابيع، ردت الوزارة على الطالب قائلة إن الخلل “لم يعد مصدر قلق”، لكنها رفضت مشاركة أي تفاصيل أخرى معه، مشيرة إلى ” الحساسية التجارية”، وفقًا للبريد الإلكتروني الذي اطلعت عليه TechCrunch.
عندما اتصلت بها TechCrunch، أكدت الوزارة أنها تلقت كلمة عن الخطأ من الباحث الأمني، وأنه “تم اكتشاف الثغرة الأمنية كجزء من فحص أمني سابق، وتم تصحيحها بالفعل”، وفقًا للمتحدث الرسمي كريستوفر لي.
“لقد أكدنا أيضًا أن الثغرة التي تم الكشف عنها لم تعد قابلة للتطبيق بعد التصحيح. وفي يونيو/حزيران، أجرى اختبار اختراق معتمد مستقل تقييمًا إضافيًا، ولم يتم اكتشاف مثل هذه الثغرة الأمنية.
وقال المتحدث: “ومع ذلك، فإننا ندرك أن التهديدات السيبرانية يمكن أن تتطور بسرعة ويتم اكتشاف نقاط ضعف جديدة”، مضيفًا أن الوزارة “تأخذ مثل هذا الكشف عن الثغرات على محمل الجد وستحقق فيها بشكل شامل”.
خطأ قابل للاستغلال في متصفح أي شخص
وصف الطالب الخطأ لـ TechCrunch بأنه ثغرة أمنية لتصعيد الامتيازات من جانب العميل، والتي سمحت لأي شخص على الإنترنت بإنشاء حساب مستخدم Mobile Guardian جديد بمستوى عالٍ للغاية من الوصول إلى النظام باستخدام الأدوات الموجودة في متصفح الويب الخاص به فقط. كان هذا بسبب زعم أن خوادم Mobile Guardian لم تقم بإجراء فحوصات الأمان المناسبة والاستجابات الموثوقة من متصفح المستخدم.
يعني الخطأ أنه يمكن خداع الخادم لقبول المستوى الأعلى من الوصول إلى النظام لحساب المستخدم عن طريق تعديل حركة مرور الشبكة في المتصفح.
تم تزويد TechCrunch بمقطع فيديو – تم تسجيله في 30 مايو، وهو يوم الكشف – يوضح كيفية عمل الخطأ. يُظهر الفيديو المستخدم وهو يقوم بإنشاء حساب “مشرف متميز” باستخدام الأدوات المدمجة في المتصفح فقط لتعديل حركة مرور الشبكة التي تحتوي على دور المستخدم لرفع مستوى وصول هذا الحساب من “المسؤول” إلى “المشرف المتميز”.
أظهر الفيديو قبول الخادم لطلب الشبكة المعدل، وعند تسجيل الدخول بحساب المستخدم “المشرف المتميز” الذي تم إنشاؤه حديثًا، تم منحه حق الوصول إلى لوحة معلومات تعرض قوائم المدارس المسجلة في Mobile Guardian.
لم يستجب باتريك لوسون، الرئيس التنفيذي لشركة Mobile Guardian، لطلبات متعددة للتعليق قبل النشر، بما في ذلك أسئلة حول تقرير الضعف الخاص بالطالب وما إذا كانت الشركة أصلحت الخطأ.
بعد أن اتصلنا بـ Lawson، قامت الشركة بتحديث بيانها على النحو التالي: “تم التأكد من حل التحقيقات الداخلية وتحقيقات الطرف الثالث في الثغرات الأمنية السابقة لمنصة Mobile Guardian Platform ولم تعد تشكل خطرًا.” ولم يذكر البيان متى تم حل العيوب السابقة ولم يستبعد البيان صراحة وجود صلة بين العيوب السابقة والهجوم الإلكتروني في أغسطس.
وهذا هو الحادث الأمني الثاني الذي يتعرض له Mobile Guardian هذا العام. في أبريل، أكدت وزارة التعليم السنغافورية أن بوابة إدارة الشركة قد تم اختراقها وتعرضت المعلومات الشخصية لأولياء الأمور وموظفي المدارس من مئات المدارس في جميع أنحاء سنغافورة للخطر. وأرجعت الوزارة الاختراق إلى سياسة كلمة المرور المتراخية لدى Mobile Guardian، وليس إلى ثغرة أمنية في أنظمتها.
هل تعرف المزيد عن الهجوم الإلكتروني على Mobile Guardian؟ هل أنت متأثر؟ تواصل معنا. يمكنك الاتصال بهذا المراسل على تطبيق Signal وWhatsApp على الرقم +1 646-755-8849 أو عبر البريد الإلكتروني. يمكنك إرسال الملفات والمستندات عبر SecureDrop.
اكتشاف المزيد من موقع شعاع للمعلوماتية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.