Seorang individu yang mengaku sebagai seorang siswa di Singapura secara publik memposting dokumentasi yang menunjukkan keamanan yang kurang baik dalam layanan manajemen perangkat mobile sekolah yang sangat populer bernama Mobile Guardian, beberapa minggu sebelum serangan cyber terhadap perusahaan tersebut mengakibatkan pemadaman massal perangkat siswa dan gangguan yang luas.
Dalam sebuah email dengan TechCrunch, siswa tersebut - yang enggan memberikan namanya mengutip ketakutan akan balasan hukum - mengatakan bahwa ia melaporkan bug tersebut kepada pemerintah Singapura melalui email pada akhir Mei namun tidak bisa yakin bahwa bug tersebut pernah diperbaiki. Pemerintah Singapura mengatakan kepada TechCrunch bahwa bug tersebut diperbaiki sebelum serangan cyber Mobile Guardian pada 4 Agustus, tetapi siswa tersebut mengatakan bahwa bug tersebut sangat mudah ditemukan dan sepele untuk dieksploitasi oleh penyerang yang tidak terlalu canggih, sehingga dia takut ada lebih banyak kerentanan dengan tingkat eksploitasi yang sama.
Mobile Guardian berbasis di Inggris, yang menyediakan perangkat lunak manajemen perangkat siswa di ribuan sekolah di seluruh dunia, mengungkapkan pelanggaran pada 4 Agustus dan menutup platformnya untuk memblokir akses jahat, tetapi tidak sebelum penyusup menggunakan akses mereka untuk menghapus ribuan perangkat siswa secara remote.
Sehari kemudian, siswa tersebut mempublikasikan rincian kerentanan yang sebelumnya dia kirimkan ke Kementerian Pendidikan Singapura, salah satu pelanggan utama Mobile Guardian sejak 2020.
Dalam sebuah pos Reddit, siswa tersebut mengatakan bahwa bug keamanan yang ditemuinya di Mobile Guardian memberikan akses 'super admin' kepada siapa pun yang masuk ke dalam sistem manajemen pengguna perusahaan. Dengan akses itu, kata siswa tersebut, orang jahat bisa melakukan tindakan yang dipesan untuk administrator sekolah, termasuk kemampuan untuk 'mereset perangkat pembelajaran pribadi setiap orang,' katanya.
Siswa tersebut menyatakan bahwa ia melaporkan isu tersebut kepada kementerian pendidikan Singapura pada 30 Mei. Tiga minggu kemudian, kementerian tersebut merespons siswa tersebut mengatakan bahwa kelemahan tersebut 'tidak lagi menjadi kekhawatiran,' tetapi menolak untuk berbagi informasi lebih lanjut dengan siswa tersebut, mengutip 'sensitivitas komersial,' menurut email yang dilihat oleh TechCrunch.
Ketika dihubungi oleh TechCrunch, kementerian tersebut mengkonfirmasi bahwa mereka telah menerima informasi tentang bug dari peneliti keamanan, dan bahwa 'kerentanan tersebut telah diambil sebagai bagian dari penjajakan keamanan sebelumnya, dan telah diperbaiki,' sesuai dengan juru bicara Christopher Lee.
'Kami juga memastikan bahwa eksploit yang diungkapkan tidak lagi dapat digunakan setelah di-patching. Pada bulan Juni, pengetes penetrasi bersertifikasi secara independen melakukan penilaian lebih lanjut, dan tidak ada kerentanan seperti itu yang terdeteksi,' kata juru bicara tersebut.
'Namun, kami sadar bahwa ancaman cyber dapat berkembang dengan cepat dan kerentanan baru ditemukan,' kata juru bicara tersebut, menambahkan bahwa kementerian 'menganggap serius pengungkapan kerentanan tersebut dan akan menyelidiki dengan seksama.'
Bug dapat dieksploitasi di browser siapa pun
Siswa tersebut menjelaskan bug tersebut kepada TechCrunch sebagai kerentanan eskalasi hak klien, yang memungkinkan siapa pun di internet untuk membuat akun pengguna Mobile Guardian baru dengan tingkat akses sistem yang sangat tinggi hanya dengan menggunakan alat di browser web mereka. Hal ini karena server Mobile Guardian diduga tidak melakukan pemeriksaan keamanan yang benar dan mempercayai respons dari browser pengguna tersebut.
Bug tersebut berarti bahwa server bisa ditipu untuk menerima tingkat akses sistem yang lebih tinggi untuk akun pengguna dengan memodifikasi lalu lintas jaringan di browser pengguna.
TechCrunch diberikan video - direkam pada 30 Mei, hari pengungkapan - yang menunjukkan bagaimana bug tersebut berfungsi. Video tersebut menunjukkan pengguna membuat akun 'super admin' hanya dengan menggunakan alat bawaan di browser untuk memodifikasi lalu lintas jaringan yang berisi peran pengguna untuk meningkatkan akses akun tersebut dari 'admin' menjadi 'super admin.'
Video tersebut menunjukkan server menerima permintaan jaringan yang dimodifikasi, dan ketika masuk sebagai pengguna 'super admin' yang baru dibuat itu, memberikan akses ke dasbor yang menampilkan daftar sekolah yang terdaftar di Mobile Guardian.
CEO Mobile Guardian, Patrick Lawson, tidak menanggapi permintaan komentar berkali-kali sebelum publikasi, termasuk pertanyaan tentang laporan kerentanan siswa dan apakah perusahaan telah memperbaiki bug tersebut.
Pasca kami menghubungi Lawson, perusahaan memperbarui pernyataannya sebagai berikut: 'Investigasi internal dan pihak ketiga terhadap kerentanan sebelumnya dari Platform Mobile Guardian dikonfirmasi telah diselesaikan dan tidak lagi menimbulkan risiko.' Pernyataan tersebut tidak menyebutkan kapan kerentanan sebelumnya diperbaiki dan juga tidak secara eksplisit menyangkal hubungan antara kerentanan sebelumnya dan serangan cyber Agustus.
Ini adalah insiden keamanan kedua yang menimpa Mobile Guardian tahun ini. Pada April, kementerian pendidikan Singapura mengkonfirmasi bahwa portal manajemen perusahaan telah diretas dan informasi pribadi orangtua dan staf sekolah dari ratusan sekolah di Singapura dikompromikan. Kementerian menyalahkan pelanggaran tersebut pada kebijakan kata sandi longgar Mobile Guardian, bukan kerentanan dalam sistem mereka.
Apakah kamu tahu lebih banyak tentang serangan cyber Mobile Guardian? Apakah kamu terkena dampaknya? Hubungi kami. Kamu bisa menghubungi reporter ini di Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Kamu bisa mengirim file dan dokumen melalui SecureDrop.
