Hackers invadem 12 ministérios noruegueses por meio da vulnerabilidade de dia zero de Ivanti

Hackers não identificados exploraram uma vulnerabilidade de dia zero no software da Ivanti para gerenciamento centralizado de dispositivos móveis corporativos e realizaram com sucesso um ataque cibernético aos recursos de 12 agências governamentais norueguesas. O desenvolvedor corrigiu o bug, mas os recursos de milhares de outras organizações podem permanecer em risco.

Fonte da imagem: Gerd Altmann / pixabay.com

A Organização Norueguesa de Segurança e Serviços (DSS) disse que o ataque hackeou plataformas de TI usadas por 12 ministérios – seus nomes não foram especificados, mas o departamento acrescentou que o incidente não afetou os recursos do gabinete do primeiro-ministro, bem como os ministérios da defesa, justiça e relações exteriores. A DSS também informou que o ataque cibernético foi possível devido a “uma vulnerabilidade anteriormente desconhecida no software de um dos fornecedores”. A Autoridade de Segurança Nacional Norueguesa (NSM) posteriormente acrescentou que era uma vulnerabilidade no Ivanti Endpoint Manager Mobile (EPMM, anteriormente conhecido como MobileIron Core).

O Ivanti EPMM permite que usuários e dispositivos autorizados acessem redes corporativas e governamentais. A vulnerabilidade CVE-2023-35078 permite ignorar o procedimento de autenticação e afeta todas as versões suportadas e não suportadas do programa implantado antes de ser descoberto. Quando explorada, a vulnerabilidade permite que qualquer pessoa acesse remotamente as informações pessoais dos usuários de dispositivos móveis (nomes, números de telefone e outros dados), além de fazer alterações no servidor invadido. A Agência de Proteção de Cibersegurança e Infraestrutura dos EUA (CISA) também esclareceu que a vulnerabilidade permite que invasores criem contas com privilégios administrativos em sistemas comprometidos e façam alterações na plataforma.

O diretor de segurança da Ivanti, Daniel Spicer, disse que a empresa lançou prontamente atualizações de software para corrigir a vulnerabilidade e procurou os clientes para ajudá-los a instalar a atualização. Ele também garantiu que a empresa “confirmou seu compromisso de fornecer e oferecer suporte a produtos seguros praticando protocolos de divulgação responsável”. No entanto, Ivanti escondeu informações detalhadas sobre a vulnerabilidade, que foi avaliada em 10 em 10, atrás de um “paywall” – o acesso à base de conhecimento requer uma conta de cliente, o recurso TechCrunch especificado.

A verdadeira extensão do incidente ainda é desconhecida: de acordo com o serviço de busca Shodan, mais de 2.900 portais Ivanti MobileIron estão agora disponíveis na Internet, a maioria dos quais pertencentes a clientes americanos.