Hackers não identificados exploraram uma vulnerabilidade de dia zero no software da Ivanti para gerenciamento centralizado de dispositivos móveis corporativos e realizaram com sucesso um ataque cibernético aos recursos de 12 agências governamentais norueguesas. O desenvolvedor corrigiu o bug, mas os recursos de milhares de outras organizações podem permanecer em risco.
A Organização Norueguesa de Segurança e Serviços (DSS) disse que o ataque hackeou plataformas de TI usadas por 12 ministérios – seus nomes não foram especificados, mas o departamento acrescentou que o incidente não afetou os recursos do gabinete do primeiro-ministro, bem como os ministérios da defesa, justiça e relações exteriores. A DSS também informou que o ataque cibernético foi possível devido a “uma vulnerabilidade anteriormente desconhecida no software de um dos fornecedores”. A Autoridade de Segurança Nacional Norueguesa (NSM) posteriormente acrescentou que era uma vulnerabilidade no Ivanti Endpoint Manager Mobile (EPMM, anteriormente conhecido como MobileIron Core).
O Ivanti EPMM permite que usuários e dispositivos autorizados acessem redes corporativas e governamentais. A vulnerabilidade CVE-2023-35078 permite ignorar o procedimento de autenticação e afeta todas as versões suportadas e não suportadas do programa implantado antes de ser descoberto. Quando explorada, a vulnerabilidade permite que qualquer pessoa acesse remotamente as informações pessoais dos usuários de dispositivos móveis (nomes, números de telefone e outros dados), além de fazer alterações no servidor invadido. A Agência de Proteção de Cibersegurança e Infraestrutura dos EUA (CISA) também esclareceu que a vulnerabilidade permite que invasores criem contas com privilégios administrativos em sistemas comprometidos e façam alterações na plataforma.
O diretor de segurança da Ivanti, Daniel Spicer, disse que a empresa lançou prontamente atualizações de software para corrigir a vulnerabilidade e procurou os clientes para ajudá-los a instalar a atualização. Ele também garantiu que a empresa “confirmou seu compromisso de fornecer e oferecer suporte a produtos seguros praticando protocolos de divulgação responsável”. No entanto, Ivanti escondeu informações detalhadas sobre a vulnerabilidade, que foi avaliada em 10 em 10, atrás de um “paywall” – o acesso à base de conhecimento requer uma conta de cliente, o recurso TechCrunch especificado.
A verdadeira extensão do incidente ainda é desconhecida: de acordo com o serviço de busca Shodan, mais de 2.900 portais Ivanti MobileIron estão agora disponíveis na Internet, a maioria dos quais pertencentes a clientes americanos.