Hack mod norske myndigheder startede måneder før opdagelsen

Af Eskil Sørensen, 02/08/23

Udnyttelse har givet adgang til fortrolige data.

Hackere begyndte allerede i april at udnytte en ny sårbarhed i Ivanti-produkter i angreb mod regeringskontorer i Norge.

Dette fremgår af en fælles advisory fra National Cybersikkerhetssenter (NCSC-NO) under National Sikkerhetsmyndighet (NSM) i Norge og amerikanske CISA, som er refereret i The Record og Bleeping Computer i går.

Sagen startede i midten af juli, hvor Norge bekræftede, at hackere med forbindelse til en unavngiven stat havde kompromitteret et dusin myndigheder i landet gennem en sårbarhed i Endpoint Manager Mobile. EPMM er en platform, som anvendes til at opsætte politikker for mobile enheder, applikationer og indhold. Løsningen bruges ifølge The Record verden over og er udviklet af Ivanti (tidligere kendt som MobileIron Core).

Sårbarhederne gør det muligt for trusselsaktører at få adgang til personligt identificerbare oplysninger, såsom navne, telefonnumre og andre mobilenhedsdetaljer, gennemføre konfigurationsændringer til sårbare systemer, pushe nye pakker til mobile endpoints og få adgang til GPS-data, hvis det er aktiveret. Med andre ord: Fortrolige data.

I advisoriet bekræftes det, at der var tale om APT-aktører, der udnyttede 0-dagssårbarheden CVE-2023-35078, hvilket blev anvendt til at indsamle oplysninger fra flere norske organisationer og til at få adgang til og kompromittere en norsk regeringenheds netværk i april. Altså måneder før udnyttelsen blev opdaget og kendt i offentligheden.

Siden har Ivanti slået fast, at trusselsaktører kunne bruge CVE-2023-35078 sammen med en anden sårbarhed, CVE-2023-35081, ligesom NCSC-NO har observeret en mulig udnyttelseskæde mellem CVE-2023-35081 og CVE-2023-35078.

Risiko for bred udnyttelse

I advisoriet hedder det generelt om Mobile Device Management (MDM)-systemer, at ’de er attraktive mål for trusselsaktører, fordi de giver forhøjet adgang til tusindvis af mobile enheder, og at APT-aktører har udnyttet en tidligere MobileIron-sårbarhed. Derfor er CISA og NCSC-NO bekymrede over potentialet for udbredt udnyttelse i offentlige og private netværk.’

Ivanti udgav en patch til den første sårbarhed (CVE-2023-35078) den 23. juli og en patch til den anden (CVE-2023-35081) den 28. juli. NVD har givet de to sårbarheder en score på hhv. 10,0 og 7,8. Begge sårbarheder er føjet til listen over kendte udnyttede sårbarheder med deadline til håndtering på hhv. den 15. og 21. august.

CISA og NCSC-NO opfordrer organisationer til at kigge efter ondsindet aktivitet ved hjælp af detektionsvejledningen i advisoriet. Hvis der ikke opdages ondsindet aktivitet, bør organisationer stadig implementere de udgivne patch.