Хакеры воспользовались уязвимостью нулевого дня в программном обеспечении для управления мобильными устройствами Ivanti, чтобы скомпрометировать дюжину норвежских правительственных учреждений, и тысячи других организаций также могут оказаться под угрозой.
Норвежская организация безопасности и услуг (DSS) говорится в пресс-релизе В понедельник, что «атака данных» поразила ИТ-платформу, используемую 12 министерствами. Правительство Норвегии не назвало затронутых министерств, но DSS подтвердило, что несколько ведомств не пострадали, в том числе канцелярия премьер-министра Норвегии, министерство обороны, министерство юстиции и министерство иностранных дел.
В DSS заявили, что атака стала результатом «ранее неизвестной уязвимости в программном обеспечении одного из наших поставщиков», но не сообщили никаких подробностей. Однако Управление национальной безопасности Норвегии (NSM) подтвержденный что хакеры использовали ранее неизвестную уязвимость в Ivanti Endpoint Manager Mobile (EPMM; ранее MobileIron Core), чтобы скомпрометировать норвежские правительственные учреждения.
Софи Нистрём, исполнительный директор норвежского NSM, заявила, что правительство изначально не могло раскрыть информацию об уязвимости по «соображениям безопасности», отметив, что уязвимость была обнаружена «впервые здесь, в Норвегии».
EPMM от Ivanti позволяет авторизованным пользователям и устройствам получать доступ к корпоративной или государственной сети. Уязвимость, отслеживаемая как CVE-2023-35078, является недостатком обхода аутентификации, который затрагивает все поддерживаемые версии программного обеспечения Ivanti EPMM, а также более старые, неподдерживаемые версии. В случае эксплуатации уязвимость позволяет любому человеку в Интернете получить удаленный доступ к программному обеспечению — без необходимости ввода учетных данных — для доступа к личной информации пользователей, такой как имена, номера телефонов и сведения о мобильных устройствах других пользователей в уязвимой системе, а также вносить изменения на уязвимом сервере.
В предупреждении, опубликованном в понедельник, американское агентство кибербезопасности CISA предупрежден что злоумышленники могут создать административную учетную запись EPMM, что позволит им вносить дальнейшие изменения в уязвимую систему.
Брайан Томас, представитель Ivanti через стороннее агентство, сообщил TechCrunch в заявлении, что, узнав об уязвимости, компания «немедленно разработала и выпустила исправление и активно взаимодействует с клиентами, чтобы помочь им применить это исправление», добавив, что «мы по-прежнему привержены предоставлению и поддержке безопасных продуктов, придерживаясь при этом протоколов ответственного раскрытия информации».
Тем не менее, Иванти изначально скрывал детали уязвимости, которой был присвоен максимальный рейтинг серьезности уязвимости 10 из 10, за платным доступом, и спросил бы потенциально затронутые клиенты должны подписать соглашение о неразглашении, прежде чем делиться подробностями. На момент написания статьи базы знаний Ivanti об уязвимости по-прежнему требует от пользователей входа в систему перед просмотром.
Суммируя общественное предупреждение, Ivanti подтвердила, что «знает об очень ограниченном числе пострадавших клиентов». На вопрос TechCrunch компания отказалась сообщить, сколько именно клиентов пострадало и видели ли они доказательства утечки данных в результате атак.
Норвежский NSM подтвердил, что уведомил Норвежское управление по защите данных (DPA) об атаке на правительственные министерства, предполагая, что хакеры могли украсть конфиденциальные данные из скомпрометированных систем.
Масштабы последствий этого нулевого дня еще предстоит определить, но многие другие организации могут оказаться в опасности, если исправления не будут применены. Согласно Шоданпоисковая система для общедоступных устройств, в Интернете открыто более 2900 порталов MobileIron, большинство из которых расположены в Соединенных Штатах.
Как отмеченный исследователем кибербезопасности Кевином Бомонтом, подавляющее большинство затронутых организаций — список, который включает многие правительственные ведомства США и Великобритании — еще не исправлены.
