Abitti-järjestelmästä on korjattu kaksi vakavaa tietoturva-aukkoa - mahdollistivat murtautumisen koeverkosta koetilan palvelimelle

Sähköisissä ylioppilaskirjoituksissa käytettävästä Abitti-järjestelmästä korjattiin kaksi vakavaa tietoturva-aukko, jotka mahdollistivat murtautumisen koeverkosta koetilan palvelimelle. Aiheesta uutisoi Helsingin Sanomat.

Ensimmäinen haavoittuvuus, joka on merkitykseltään vähäisempi, koskee kokelaan tikkua. Tämän haavoittuvuuden avulla kokeen suorittaja voi saada pääkäyttäjän oikeudet, jonka myötä palomuuria voi muokata ja siten käyttää vapaasti internetiä sekä koneella olevia aineistoja.

Toinen, erittäin vakavaksi luokiteltu haavoittuvuus koskee palvelintikkua. Tämä haavoittuvuus mahdollistaa murtautumisen koeverkosta koetilan palvelimelle ja siellä mielivaltaisten komentojen ja ohjelmakoodin suorittamisen.

Komentojen avulla hyökkääjä voi esimerkiksi hakea kaikkien kokeisiin osallistuneiden henkilötiedot tai koesuoritukset tai muuttaa niitä.

Palvelintikun haavoittuvuuden hyödyntäminen vaati, että kokeen suorittajalla on kokelaan koeympäristön pääkäyttäjän oikeudet.

Molemmat haavoittuvuudet ovat olleet kevään 2021 ylioppilaskokeissa käytetyissä tikkuversioissa. Ylioppilastutkintolautakunnan (YTL) mukaan näitä haavoittuvuuksia ei ole hyödynnetty kevään kokeissa. Hyödyntäminen olisi vaatinut runsasta valmistautumista ja tästä huolimatta on todennäköistä, että hyökkääjä jää kiinni jossain vaiheessa hyökkäystä.

Tietoturva-aukkoja yhdistävän hyökkäystavan löysivät nuoret Mikael Hannolainen, Ruben Mkrtumyan ja Eemil Sinkko. Tietoturvasta kiinnostuneet nuoret alkoivat tutkia Abittia viime vuoden lopussa huvin vuoksi. Pian he löysivät järjestelmästä puutteita ja tietoturva-ammattilaisten neuvoilla he kertoivat löydöistään YTL:lle.

YTL:n blogikirjoituksessa kommentoitiin heidän yhteydenottonsa olleen lautakuntaan poikkeuksellisen ammattimainen ja se mahdollisti nopean korjaamisen.

• ylioppilaskirjoitukset
• tietoturva-aukko
• haavoittuvuus