Noruega afirma que o dia zero do Ivanti foi usado para invadir os sistemas de TI do governo
25 de Julho de 2023

A Autoridade Nacional de Segurança da Noruega (NSM) confirmou que invasores usaram uma vulnerabilidade dia-zero na solução Endpoint Manager Mobile (EPMM) da Ivanti para invadir uma plataforma de software usada por 12 ministérios no país.

A Organização de Segurança e Serviço da Noruega (DSS) disse na segunda-feira que o ataque cibernético não afetou o Gabinete do Primeiro-Ministro da Noruega, o Ministério da Defesa, o Ministério da Justiça e o Ministério dos Negócios Estrangeiros.

A Autoridade Norueguesa de Proteção de Dados (DPA) também foi notificada sobre o incidente, indicando que os hackers podem ter obtido acesso e/ou exfiltrado dados sensíveis de sistemas comprometidos, levando a uma violação de dados.

"Essa vulnerabilidade era única e foi descoberta pela primeira vez aqui na Noruega.

Se tivéssemos divulgado as informações sobre a vulnerabilidade muito cedo, isso poderia ter contribuído para o seu uso indevido em outros lugares da Noruega e no resto do mundo", disse a NSM.

"A atualização agora está geralmente disponível e é prudente anunciar que tipo de vulnerabilidade é", diz Sofie Nystrøm, diretora da Agência de Segurança Nacional.

O Centro Nacional de Cibersegurança da Noruega (NCSC) também notificou todos os conhecidos clientes da MobileIron Core na Noruega sobre a existência de uma atualização de segurança para corrigir esse exploit ativamente usado em dia zero (acompanhado como CVE-2023-35078 ).

Como recomendação, o NCSC instou esses donos de sistemas a instalarem atualizações de segurança para bloquear ataques futuros o mais rápido possível.

O bug de segurança CVE-2023-35078 tem impacto nas versões apoiadas do Endpoint Manager Mobile (EPMM) da Ivanti, como também em versões não suportadas que chegaram ao fim da vida útil.

A exploração bem-sucedida permite que atores de ameaças remotas acessem rotas API específicas sem necessidade de autenticação.

"Um invasor com acesso a essas rotas API pode acessar informações pessoalmente identificáveis, como nomes, números de telefone e outros detalhes do dispositivo móvel de usuários em um sistema vulnerável", alertou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em um comunicado publicado na segunda-feira.

"Um invasor também pode fazer outras mudanças de configuração, incluindo a criação de uma conta administrativa EPMM que pode fazer mais alterações em um sistema vulnerável."

A empresa confirmou que o dia zero está sendo explorado em ataques e também alertou os clientes que é essencial "agir imediatamente para garantir que você esteja totalmente protegido".

De acordo com a plataforma de varredura de exposição na internet Shodan, mais de 2.900 portais de usuários do MobileIron estão atualmente expostos online, dentre esses, cerca de três dúzias estão vinculados a agências governamentais locais e estaduais dos EUA.

A maioria desses servidores expostos está nos Estados Unidos, com outras localizações notáveis incluindo Alemanha, Reino Unido e Hong Kong.

À luz disso, é crucial que todos os administradores de rede instalem prontamente os patches mais recentes do Ivanti Endpoint Manager Mobile (MobileIron) para proteger seus sistemas contra ataques.

A Noruega revelou outros ataques cibernéticos em que hackers patrocinados pelos estados chinês e russo visaram seus sites governamentais e o parlamento do país.

No ano passado, em junho, a NSM disse que hacktivistas russos derrubaram vários sites do governo norueguês em ataques DDoS.

Em março de 2021, o grupo de hacking patrocinado pelo estado chinês Hafnium foi vinculado a outro incidente em que violaram os sistemas do parlamento da Noruega e roubaram dados explorando vulnerabilidades do ProxyLogon Microsoft Exchange.

Em outro ataque de agosto de 2020, várias contas de e-mail do Parlamento norueguês foram forçadas brutamente.

Este incidente foi ligado pelo Ministro dos Negócios Estrangeiros da Noruega em dezembro de 2020 ao grupo russo de hacking patrocinado pelo estado APT 28.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...