Abitti-versionen som publicerades i slutet av oktober åtgärdade allvarliga datasäkerhetsluckor.
Den allvarligaste sårbarheten fanns i provlokalens server. Sårbarheten gjorde det möjligt att modifiera och ladda ner och uppgifter från provlokalens server (till exempel examinandens personuppgifter, provprestationerna och säkerhetskopior av filer som sparats av examinanden).
En annan åtgärdad sårbarhet var en bunt liknande metoder som möjliggjorde examinanden att få administratorrättigheter till sin egen dator. Dessutom var versionsnumret på licensavtalet i examinandens dator felaktigt.
Datasäkerhetsluckorna har funnits i alla studentexamensprov som hittills arrangerats. Studentexamensnämnden har inte uppgifter om huruvida sårbarheterna har utnyttjats vid studentexamen.
Studentexamensnämnden rekommenderar arrangörer av övningsprov med hjälp av Abitti-systemet att omedelbart uppdatera till säkra versioner:
- Åtgärdade versioner av examinandens datorer: 2243K, 2244B, 22451
- Åtgärdade versioner av provlokalens server: 22436, 2244T, 2245K
Sårbarheterna hittades under ett evenemang för hackare
Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på de team och teammedlemmar som hittade sårbarheterna.
Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.
Vid HackDay-evenemanget gjordes även andra datasäkerhetsfynd gällande Abitti, som kommer att rapporteras senare.
Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.
1. Ladda ner och redigera godtyckliga filer
Den allvarligaste sårbarheten tillåter tillägg, ändring och nedladdning av filer från provlokalens server. Attacken ska utföras från en dator ansluten till det lokala provnätverket, till exempel från examinandens egen dator. Missbruket kräver inloggning på provlokalens server.
Attacken är baserad på otillräcklig sanering av indata i gränssnittet som används för att säkerhetskopiera filerna som skapats av examinanden under provet.
Sårbarhetsklassifiering: CVSS: 8,8 (högt)
2. Köra godtyckliga kommandon med root-privilegier
Sårbarheten möjliggör exekvering av godtyckliga kommandon på examinandens egen dator med root-användarrättigheter. Attacken baseras på mekanismen i Abitti-provsystemet, som kan användas för att uppdatera filerna på examinandens dator i samband med provfilerna. Uppdateringsmekanismen extraherar filerna till en tillfällig katalog på examinandens dator före installering. En vältajmad attack ersätter filerna med angriparens filer, som är installerade i provmiljön med root-privilegier.
Attacken är endast möjlig i prov som innehåller ett paket som uppdaterar examinandens dator. Allvarlighetsgraden av observationen vid studentexamen minskas av den tekniska övervakningen av examinandens dator.
Sårbarhetsklassifiering: CVSS-poäng: 2,0 (lågt)
3. Felaktig version av användarvillkorsavtalet
När provdeltagaren loggade in visades fel versionsnummer 1.3 av licensavtalet, då rätt versionsnummer skulle ha varit 1.4.
Det egentliga versionsnumret i det läsbara licensavtalet har varit korrekt (1.4) och själva avtalstexten har motsvarat versionen på webbplatsen Abitti.fi (1.4).
Sårbarhetsklassifiering: GDPR-överträdelse