Управление национальной безопасности Норвегии (Nasjonal Sikkerhetsmyndighet, NSM) сообщило, что сразу 12 правительственных учреждений пострадали от атаки на критическую уязвимость нулевого дня в решении Ivanti Endpoint Manager Mobile (EPMM, ранее MobileIron Core). Пострадавшая от хакерской атаки платформа использовалась самыми разными министерствами страны, но известно, что инцидент не затронул Канцелярию премьер-министра, Министерство обороны, Министерство юстиции и Министерство иностранных дел.
Норвежское управление по защите данных (DPA) уже уведомлено об инциденте, то есть, скорее всего, хакеры могли получить доступ к конфиденциальной информации в скомпрометированных системах, и произошла утечка данных.
При этом подчеркивается, что правительство страны продолжает работать в обычном режиме, и произошедшее никак не повлияло на работу властей.
Вскоре после публикации официальных заявлений норвежских властей стало известно, о какой именно уязвимости идет речь. Критический баг, получивший идентификатор CVE-2023-35078 (10 баллов из 10 возможных по шкале CVSS), был обнаружен норвежскими правительственными ИБ-специалистами в продукте для управления мобильными устройствами Endpoint Manager Mobile (EPMM, ранее известен под названием MobileIron Core) компании Ivanti.
В NSM заявили, что скрывали информацию о 0-day баге до тех пор, пока Ivanti не выпустила патч. Дело в том, что эксперты опасались, что уязвимость будет использована как в Норвегии, так и за рубежом, если они раскроют подробности о ней слишком рано.
Проблема связана с обходом аутентификации и затрагивает все поддерживаемые версии EPMM, а также более старые. Успешная эксплуатация уязвимости позволяет злоумышленнику получать доступ к определенным путям API без необходимости аутентификации.
«Злоумышленник, имеющий доступ к этим путям API, может получить доступ к личной информации, включая имена, номера телефонов и другие данные о мобильных устройствах пользователей в уязвимой системе, — предупреждает в собственном бюллетене безопасности Агентство США по кибербезопасности и защите инфраструктуры (CISA). — Злоумышленник также может внести изменения в конфигурацию, в том числе создать учетную запись администратора EPMM, которая сможет внести дополнительные изменения в уязвимую систему».
Теперь администраторам рекомендуется как можно скорее обновить EPMM до версий 11.8.1.1, 11.9.1.1 и 11.10.0.2, где уязвимость было устранена. Патчи доступны даже для неподдерживаемых и устаревших версий ПО ниже 11.8.1.0 (например, 11.7.0.0, 11.5.0.0).
Представители Ivanti сообщают, что, по информации их «надежного источника», уязвимость уже использовалась против небольшого числа клиентов компании, но дополнительную информацию разработчики пока не раскрывают. Фактически, официально подтверждена только информация об атаке на власти Норвегии.
По данным издания Bleeping Comptuer, Ivanti вообще вынудила некоторых клиентов подписать соглашение о неразглашении при запросе дополнительной информации об уязвимости CVE-2023-35078.
Согласно данным Shodan, в сети доступны более 2900 пользовательских порталов MobileIron, а по меньшей мере 30 из них связаны с муниципальными и федеральными государственными органами США.
Большинство доступных из интернета серверов расположены в США, Германии, Великобритании и Гонконге.
Источник: xakep