Lokakuussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja

Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja.

Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen.

Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen.

Tietoturva-aukot ovat olleet kaikissa tähän mennessä järjestetyissä ylioppilaskokeissa. Ylioppilastutkintolautakunnalla ei ole tietoa, onko haavoittuvuuksia käytetty hyväksi ylioppilastutkinnossa.

Ylioppilastutkintolautakunta suosittelee Abitti-järjestelmällä harjoituskokeita järjestäviä päivittämään välittömästi turvallisiin versioihin:

  • Korjatut kokelaan koneen versiot: 2243K, 2244B, 22451
  • Korjatut palvelinversiot: 22436, 2244T, 2245K

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

HackDay-tapahtumassa tehtiin muitakin Abittia koskevia tietoturvahavaintoja, joista raportoidaan myöhemmin.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Mielivaltaisten tiedostojen lataaminen ja muokkaaminen

Vakavin haavoittuvuus mahdollistaa koetilan palvelimella olevien tiedostojen lisäämisen, muuttamisen sekä lataamisen. Hyökkäys on tehtävä paikalliseen koeverkkoon liitetyltä tietokoneelta, esimerkiksi kokelaan omalta tietokoneelta. Hyväksikäyttö edellyttää kirjautumista koetilan palvelimelle.

Hyökkäys perustuu kokelaan kokeen aikana luomien tiedostojen varmuuskopioinnissa käytetyn rajapinnan syötteiden puutteelliseen sanitointiin.

Haavoittuvuusluokitus: CVSS: 8.8 (korkea) 

2. Mielivaltaisten komentojen suorittaminen pääkäyttäjän oikeuksin

Haavoittuvuus mahdollista mielivaltaisten komentojen suorittamisen kokelaan omalla tietokoneella pääkäyttäjän oikeuksin. Hyökkäys perustuu Abitti-koejärjestelmän mekanismiin, jolla koetiedostojen yhteydessä voidaan päivittää kokelaan koneella olevia tiedostoja. Päivitysmekanismi purkaa tiedostot kokelaan koneen väliaikaishakemistoon ennen asentamista. Oikein ajoitettu hyökkäys korvaa tiedostot hyökkääjän tiedostoilla, jotka asennetaan koeympäristöön pääkäyttäjän oikeuksin.

Hyökkäys on mahdollista vain sellaisissa kokeissa, jotka sisältävät kokelaan konetta päivittävän paketin. Havainnon vakavuutta ylioppilaskokeissa vähentää kokelaan koneen tekninen valvonta.

Haavoittuvuusluokitus: CVSS-pisteet: 2.0 (matala)

3. Väärä käyttöehtosopimuksen versio

Kokeeseen osallistujan kirjautumisen yhteydessä on näytetty väärä käyttöoikeussopimuksen versionumero 1.3, kun oikea versionumero olisi ollut 1.4.

Varsinainen luettavissa oleva käyttöoikeussopimuksen versionumero on ollut oikein (1.4) ja varsinainen sopimusteksti on vastannut Abitti.fi-verkkosivuilla olevaa versiota (1.4).

Haavoittuvuusluokitus: GDPR-loukkaus