.
Uma falha crítica de segurança no código de gerenciamento de terminal móvel da Ivanti foi explorada e usada para comprometer 12 agências governamentais norueguesas antes que o fornecedor fechasse o buraco.
Na segunda-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA acrescentou CVE-2023-35078 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas que deve ser corrigido com urgência.
A CISA não respondeu imediatamente a Strong The Onesobre se alguma agência ou corporação do governo dos EUA foi comprometida por meio do buraco.
Depois inicialmente derrubando um aviso com detalhes sobre o bug e, em seguida, escondendo o aviso atrás de um acesso pago, na terça-feira Ivanti finalmente postou um alerta de segurança voltado para o público sobre CVE-2023-35078 – uma vulnerabilidade de desvio de autenticação remota, que recebeu uma classificação de gravidade CVSS de 10 em 10 incrivelmente perfeita.
A artigo da base de conhecimento com “informações detalhadas sobre como acessar e aplicar as correções” permaneceu atrás de um acesso pago na tarde de terça-feira.
De acordo com os detalhes divulgados pelo fornecedor, a falha afeta todas as versões suportadas (11.10, 11.9 e 11.8) do Ivanti Endpoint Manager Mobile (EPMM), anteriormente MobileIron Core – e versões mais antigas e em fim de vida também estão em risco , disse o desenvolvedor. Ivanti emitiu patches para 11.8.1.1, 11.9.1.1 e 11.10.0.2.
“Se explorada, essa vulnerabilidade permite que um ator remoto não autorizado (voltado para a Internet) acesse potencialmente as informações de identificação pessoal dos usuários e faça alterações limitadas no servidor”, de acordo com o alerta. “Recebemos informações de uma fonte confiável indicando que houve exploração.”
Ivanti disse que continuará trabalhando com clientes e parceiros para investigar e acrescentou que está ciente de apenas um “número muito limitado de clientes” que foram comprometidos. Temos certeza de que isso é um conforto para eles.
Atrás da cortina
Um porta-voz do fabricante de software disse Strong The One foi informado da falha de segurança no final da semana passada pela referida “fonte confiável” e disponibilizou o patch para os clientes no domingo.
“Investigamos imediatamente, desenvolvemos o patch e o liberamos para os clientes alguns dias após a notificação, e estamos nos envolvendo ativamente com os clientes para ajudá-los a aplicar a correção”, disse o porta-voz.
O spinner se recusou a responder a perguntas específicas sobre quantos clientes foram comprometidos. O raciocínio por trás do adiamento da divulgação pública, segundo nos disseram, era proteger os clientes e dar-lhes tempo para mitigar o problema.
“Devido ao potencial de exploração e a pedido de nossos clientes e parceiros, fornecemos tempo extra para que nossos clientes aplicassem o patch antes que as informações sobre a vulnerabilidade se tornassem públicas”, disse o representante.
“A segurança de nossos clientes é nossa principal prioridade e, com os agentes de ameaças continuando a amadurecer suas táticas, mantemos nosso compromisso de fornecer e manter produtos seguros, enquanto praticamos protocolos de divulgação responsável”.
Além disso, o spinner negou relatos de que Ivanti forçou os clientes a assinar um acordo de não divulgação especificamente sobre essa vulnerabilidade, embora tenha dito que suas atualizações de segurança são normalmente compartilhadas de forma confidencial. Portanto, não é tanto ser forçado, mas um procedimento padrão.
“Não pedimos que nossos clientes assinem um NDA”, disse o porta-voz. “Nossos materiais estão sujeitos a confidencialidade e TLP porque não queremos facilitar a divulgação da exploração.”
(TLP sendo um protocolo para descrevendo quão amplamente, ou não, as coisas podem ser compartilhadas.)
Ivanti também se recusou a discutir quem está por trás da exploração, nem quais podem ser suas motivações.
“O que podemos dizer é que os agentes de ameaças continuam a amadurecer suas táticas, equilibrando persistência obstinada e paciência com o uso sofisticado de exploits, ferramentas e tecnologias emergentes”, acrescentou o representante.
governo norueguês arpoado
Sabemos, no entanto, que um governo europeu foi uma das vítimas.
Na segunda-feira, as autoridades de segurança nacional da Noruega revelaram que detectaram um “ataque de dados” afetando uma plataforma de software usada por quase todas as agências governamentais do país, exceto o gabinete do primeiro-ministro, o Ministério da Defesa, o Ministério da Justiça e Preparação para Emergências e o Ministério das Relações Exteriores.
“Descobrimos uma vulnerabilidade anteriormente desconhecida no software de um de nossos fornecedores”, disse Erik Hope, diretor do Departamento de Segurança e Organização de Serviços (DSS). disse durante uma conferência de imprensa.
“Esta vulnerabilidade foi explorada por um ator desconhecido”, continuou Hope. “Agora fechamos esta vulnerabilidade. É muito cedo para dizer qualquer coisa sobre quem está por trás disso e a extensão do ataque.”
A polícia está investigando a invasão e a Autoridade de Proteção de Dados da Noruega foi notificada, acrescentaram as autoridades. Isso – e o fato de que as autoridades de segurança do país o descreveram como um “ataque de dados” – sugere que algumas informações de agências governamentais foram roubadas, ou pelo menos acessadas de alguma forma, durante a invasão.
No final do dia, a Noruega divulgou que o software que havia sido explorado era o EPMM da Ivanti.
A Autoridade de Segurança Nacional do país (a outra NSA) disse que esperou até que o patch de Ivanti estivesse disponível antes de nomear o software.
“Essa vulnerabilidade era única e foi descoberta pela primeira vez aqui na Noruega”, disse Sofie Nystrøm, outra diretora da NSA, em um comunicado. declaração. “Se tivéssemos divulgado as informações sobre a vulnerabilidade muito cedo, isso poderia ter contribuído para o uso indevido em outras partes da Noruega e do resto do mundo”.
Embora a Noruega não tenha indicado quem foi o responsável pelo ataque, vale a pena notar que o membro da OTAN prometeu bilhões de dólares em ajuda para a Ucrânia enquanto esta se defende da invasão da Rússia.
A Noruega também é O maior fornecedor da Europa de gás natural, e suas exportações de combustível estão substituindo em grande parte o combustível russo embargado no continente. ®
.
