Ο Ivanti διορθώνει νέα zero-day που εκμεταλλεύεται στις επιθέσεις της νορβηγικής κυβέρνησης
Η Ivanti διόρθωσε μια άλλη ευπάθεια στο λογισμικό Endpoint Manager
Mobile
(πρώην MobileIron Core), το οποίο εκμεταλλεύτηκε ως μηδενική ημέρα για να παραβιάσει τα συστήματα πληροφορικής δώδεκα υπουργείων στη Νορβηγία.
Ο Ivanti κυκλοφόρησε ενημερωμένες εκδόσεις κώδικα ασφαλείας για το ελάττωμα διέλευσης διαδρομής που εντοπίστηκε ως
CVE-2023-35081
σήμερα και προειδοποίησε τους πελάτες ότι είναι «κρίσιμο» να αναβαθμιστούν το συντομότερο δυνατό για την ασφάλεια των ευάλωτων συσκευών από επιθέσεις.
“Το CVE-
2023
-35081 επιτρέπει σε έναν επαληθευμένο διαχειριστή να εκτελεί αυθαίρετες εγγραφές αρχείων στον διακομιστή EPMM. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί σε συνδυασμό με το CVE-2023-35078, παρακάμπτοντας τον έλεγχο ταυτότητας διαχειριστή και τους περιορισμούς ACL (εάν υπάρχουν)” Ivanti
είπε
.
«Η επιτυχής εκμετάλλευση μπορεί να χρησιμοποιηθεί για την εγγραφή κακόβουλων αρχείων στη συσκευή, επιτρέποντας τελικά σε έναν κακόβουλο παράγοντα να εκτελεί εντολές λειτουργικού συστήματος στη συσκευή ως χρήστης του tomcat.
“Μέχρι τώρα γνωρίζουμε μόνο τον ίδιο περιορισμένο αριθμό πελατών που επηρεάστηκαν από το CVE-2023-35078 όπως επηρεάστηκαν από το CVE-2023-35081.”
Το CVE-2023-35078 αξιοποιήθηκε επίσης στις ίδιες επιθέσεις που στοχεύουν σε νορβηγικές κυβερνητικές οντότητες ως μηδενική ημέρα, για την κλοπή στοιχείων προσωπικής ταυτοποίησης (PII), συμπεριλαμβανομένων ονομάτων, αριθμών τηλεφώνου και άλλων στοιχείων κινητής συσκευής.
Το ίδιο ελάττωμα επιτρέπει επίσης στους παράγοντες απειλών να δημιουργούν λογαριασμούς διαχείρισης EPMM, οι οποίοι τους επιτρέπουν να κάνουν περαιτέρω αλλαγές σε μη επιδιορθωμένες συσκευές.
Όπως αναφέρει ο Shodan,
πάνω από 2.600 πύλες χρηστών MobileIron
είναι επί του παρόντος προσβάσιμες στο διαδίκτυο, με περίπου
τρεις δωδεκάδες
από αυτά συνδέονται με τοπικές και κρατικές κυβερνητικές υπηρεσίες των ΗΠΑ.
Υπό το πρίσμα αυτό, οι διαχειριστές και οι ομάδες ασφαλείας θα πρέπει να αναβαθμίσουν αμέσως τις εγκαταστάσεις τους Ivanti EPMM (MobileIron) στην πιο πρόσφατη έκδοση για να τους προστατεύσουν από πιθανές επιθέσεις.
Οι πύλες χρηστών του MobileIron εκτίθενται στο διαδίκτυο (Shodan)
Η Αρχή Εθνικής Ασφάλειας της Νορβηγίας (NSM) επιβεβαίωσε την Τρίτη ότι έγινε κατάχρηση της ευπάθειας CVE-2023-35078 EPMM για την παραβίαση μιας πλατφόρμας λογισμικού που χρησιμοποιείται από τις κυβερνητικές υπηρεσίες της χώρας.
Ωστόσο, ο Νορβηγικός Οργανισμός Ασφάλειας και Υπηρεσιών (DSS) δήλωσε ότι η κυβερνοεπίθεση δεν επηρέασε το γραφείο του πρωθυπουργού της Νορβηγίας, το Υπουργείο Άμυνας, το Υπουργείο Δικαιοσύνης και το Υπουργείο Εξωτερικών.
Η Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) έχει επίσης ειδοποιηθεί σχετικά με το περιστατικό, εγείροντας ανησυχίες ότι οι χάκερ μπορεί να κατάφεραν να αποκτήσουν πρόσβαση και/ή να διεισδύσουν σε ευαίσθητα δεδομένα από τα παραβιασμένα κυβερνητικά συστήματα.
«Αυτή η ευπάθεια ήταν μοναδική και ανακαλύφθηκε για πρώτη φορά εδώ στη Νορβηγία», ανέφερε η NSM.
Η CISA διέταξε επίσης τις Ομοσπονδιακές Πολιτικές Εκτελεστικές Υπηρεσίες των ΗΠΑ (FCEB) να επιδιορθώσουν τα συστήματά τους έναντι του CVE-2023-35078 έως τις 15 Αυγούστου και πιθανότατα θα εκδώσει σύντομα παρόμοια εντολή για την αντιμετώπιση του CVE-2023-35081.
«Αυτά τα είδη τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», CISA
προειδοποίησε
.
