La Autoridad de Seguridad Nacional de Noruega (NSM) ha confirmado que los atacantes utilizaron una vulnerabilidad de día cero en la solución Endpoint Manager Mobile (EPMM) de Ivanti para violar una plataforma de software utilizada por 12 ministerios del país.
La Organización Noruega de Seguridad y Servicios (DSS) dijo el lunes que el ataque cibernético no afectó a la Oficina del Primer Ministro de Noruega, el Ministerio de Defensa, el Ministerio de Justicia y el Ministerio de Relaciones Exteriores.
La Autoridad de Protección de Datos de Noruega (DPA) también fue notificada sobre el incidente, lo que indica que los piratas informáticos podrían haber obtenido acceso y/o extraído datos confidenciales de sistemas comprometidos, lo que provocó una violación de datos.
«Esta vulnerabilidad fue única y se descubrió por primera vez aquí en Noruega. Si hubiéramos publicado la información sobre la vulnerabilidad demasiado pronto, podría haber contribuido a que se usara indebidamente en otras partes de Noruega y en el resto del mundo», dijo el NSM.
El error de seguridad CVE-2023-35078 es una vulnerabilidad de omisión de autenticación que afecta a todas las versiones compatibles del software de gestión de dispositivos móviles Endpoint Manager Mobile (EPMM) de Ivanti (anteriormente MobileIron Core), así como a las versiones no compatibles y al final de su ciclo de vida.
La explotación exitosa permite a los actores de amenazas remotas acceder a rutas API específicas sin necesidad de autenticación.
Ivanti publicó un aviso sobre la vulnerabilidad de omisión de autenticación CVE-2023-35078 el lunes, alegando que afecta a todas las versiones compatibles del producto EPMM.
“Si se explota, esta vulnerabilidad permite que un actor remoto no autorizado (con acceso a Internet) acceda potencialmente a la información de identificación personal de los usuarios y realice cambios limitados en el servidor”, dijo el proveedor.
“Hemos recibido información de una fuente creíble que indica que se ha producido una explotación. Seguimos trabajando con nuestros clientes y socios para investigar esta situación. Solo tenemos conocimiento de un número muy limitado de clientes que se han visto afectados. Estamos trabajando activamente con nuestros clientes y socios para investigar esta situación”.
Dada su gravedad, el error de día cero con clasificación CVSS 10.0 debe ser una prioridad para parchear para cualquier cliente afectado.
Aunque los detalles aún no están claros, los atacantes anónimos aprovecharon la falla de día cero para comprometer 12 ministerios gubernamentales en el país escandinavo. La Autoridad de Seguridad Nacional de Noruega (NSM) dijo que en el momento de la conferencia de prensa que anunció la violación, se decidió no revelar la fuente de la vulnerabilidad.
