Η Νορβηγία λέει ότι το Ivanti zero-day χρησιμοποιήθηκε για να χακάρει κυβερνητικά συστήματα πληροφορικής
Η Νορβηγική Αρχή Εθνικής Ασφάλειας (NSM) επιβεβαίωσε ότι οι εισβολείς χρησιμοποίησαν μια ευπάθεια zero-day στη λύση Endpoint Manager Mobile (EPMM) της Ivanti για να παραβιάσουν μια πλατφόρμα λογισμικού που χρησιμοποιείται από 12 υπουργεία στη χώρα.
Ο Νορβηγικός Οργανισμός Ασφάλειας και Υπηρεσιών (DSS) δήλωσε τη Δευτέρα ότι η κυβερνοεπίθεση δεν επηρέασε το γραφείο του πρωθυπουργού της Νορβηγίας, το Υπουργείο Άμυνας, το Υπουργείο Δικαιοσύνης και το Υπουργείο Εξωτερικών.
Η Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) ενημερώθηκε επίσης για το περιστατικό, υποδεικνύοντας ότι οι χάκερ μπορεί να είχαν αποκτήσει πρόσβαση και/ή διείσδυσαν ευαίσθητα δεδομένα από παραβιασμένα συστήματα, οδηγώντας σε παραβίαση δεδομένων.
“Αυτή η ευπάθεια ήταν μοναδική και ανακαλύφθηκε για πρώτη φορά εδώ στη Νορβηγία. Εάν είχαμε δημοσιεύσει τις πληροφορίες σχετικά με την ευπάθεια πολύ νωρίς, θα μπορούσε να είχε συμβάλει στην κακή χρήση της αλλού στη Νορβηγία και στον υπόλοιπο κόσμο”, η NSM
είπε
.
«Η ενημέρωση είναι πλέον γενικά διαθέσιμη και είναι φρόνιμο να ανακοινωθεί τι είδους ευπάθεια είναι», λέει η Sofie Nystrøm, διευθύντρια της Υπηρεσίας Εθνικής Ασφάλειας.
Το Νορβηγικό Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) ειδοποίησε επίσης όλους τους γνωστούς πελάτες του MobileIron Core στη Νορβηγία σχετικά με την ύπαρξη μιας ενημέρωσης ασφαλείας για την αντιμετώπιση αυτού του σφάλματος zero-day που χρησιμοποιείται ενεργά (που παρακολουθείται ως CVE-2023-35078).
Ως σύσταση, το NCSC προέτρεψε αυτούς τους κατόχους συστημάτων να εγκαταστήσουν ενημερώσεις ασφαλείας για να αποκλείσουν τις εισερχόμενες επιθέσεις το συντομότερο δυνατό.
Ευπάθεια παράκαμψης ελέγχου ταυτότητας με ενεργή εκμετάλλευση
Το σφάλμα ασφαλείας CVE-2023-35078 είναι μια ευπάθεια παράκαμψης ελέγχου ταυτότητας που επηρεάζει όλες τις υποστηριζόμενες εκδόσεις του λογισμικού διαχείρισης κινητών συσκευών EPMM της Ivanti (πρώην MobileIron Core), καθώς και τις μη υποστηριζόμενες εκδόσεις και τις εκδόσεις στο τέλος του κύκλου ζωής τους.
Η επιτυχής εκμετάλλευση επιτρέπει στους απομακρυσμένους παράγοντες απειλής να έχουν πρόσβαση σε συγκεκριμένες διαδρομές API χωρίς να απαιτείται έλεγχος ταυτότητας.
“Ένας εισβολέας με πρόσβαση σε αυτές τις διαδρομές API μπορεί να έχει πρόσβαση σε προσωπικά αναγνωρίσιμες πληροφορίες (PII), όπως ονόματα, αριθμούς τηλεφώνου και άλλες λεπτομέρειες κινητής συσκευής για χρήστες σε ένα ευάλωτο σύστημα”, προειδοποίησε η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) σε μια συμβουλευτική που δημοσιεύθηκε τη Δευτέρα.
“Ένας εισβολέας μπορεί επίσης να κάνει άλλες αλλαγές διαμόρφωσης, συμπεριλαμβανομένης της δημιουργίας ενός λογαριασμού διαχείρισης EPMM που μπορεί να κάνει περαιτέρω αλλαγές σε ένα ευάλωτο σύστημα.”
Η εταιρεία επιβεβαίωσε ότι το zero-day εκμεταλλεύεται σε επιθέσεις και προειδοποίησε επίσης τους πελάτες ότι είναι σημαντικό να «λάβουν άμεσα μέτρα για να διασφαλίσουν ότι προστατεύεστε πλήρως.
Σύμφωνα με την πλατφόρμα σάρωσης έκθεσης στο Διαδίκτυο της Shodan,
περισσότερες από 2.900 πύλες χρηστών MobileIron
εκτίθενται επί του παρόντος στο Διαδίκτυο, εκ των οποίων
γύρω στις τρεις δωδεκάδες
συνδέονται με τοπικές και κρατικές κυβερνητικές υπηρεσίες των ΗΠΑ.
Πύλες χρηστών MobileIron που εκτίθενται στο Διαδίκτυο (Shodan)
Οι περισσότεροι από αυτούς τους εκτεθειμένους διακομιστές βρίσκονται στις Ηνωμένες Πολιτείες, με άλλες αξιόλογες τοποθεσίες, όπως η Γερμανία, το Ηνωμένο Βασίλειο και το Χονγκ Κονγκ.
Υπό το πρίσμα αυτό, είναι σημαντικό για όλους τους διαχειριστές δικτύου να εγκαταστήσουν αμέσως τις τελευταίες ενημερώσεις κώδικα Ivanti Endpoint Manager Mobile (MobileIron) για να προστατεύσουν τα συστήματά τους από επιθέσεις.
