image

Noorse overheid aangevallen via zeroday in Ivanti Endpoint Manager Mobile

dinsdag 25 juli 2023, 10:21 door Redactie, 2 reacties

Bij de aanval op de Noorse overheid die gisteren werd gemeld is gebruikgemaakt van een kritiek zerodaylek in Ivanti Endpoint Manager Mobile (EPMM), dat eerder bekend stond als MobileIron Core. Dat heeft de Noorse veiligheidsdienst NSM laten weten. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren.

Gisteren maakte de Noorse overheid bekend dat een zerodaylek was gebruikt tegen een niet nader genoemd ict-platform waar twaalf Noorse ministeries mee werken. Nu blijkt dat het om Ivanti Endpoint Manager Mobile gaat. Het beveiligingslek in de software, aangeduid als CVE-2023-35078, betreft een "authentication bypass" waardoor een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen.

Vervolgens is het mogelijk om aanpassingen aan de server door te voeren of toegang tot persoonlijke informatie van gebruikers te krijgen, zo meldt de Australische overheid. De Amerikaanse overheid laat weten dat de aanvaller ook een beheerdersaccount kan aanmaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Volgens Ivanti is de zeroday voor zover bekend tegen een "zeer beperkt aantal" klanten ingezet. Een exact aantal wordt echter niet genoemd. De Noorse autoriteiten hebben inmiddels alle organisaties in het land die van EPMM/MobileIron Core gebruikmaken over het zerodaylek ingelicht en opgeroepen de beschikbaar gemaakte patches meteen te installeren.

"De kwetsbaarheid wordt op beperkte schaal actief misbruikt. Alhoewel ten tijde van schrijven weinig inhoudelijke details publiek beschikbaar zijn, is de verwachting dat de kans op misbruik toeneemt naarmate meer informatie beschikbaar komt", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Ook het NCSC adviseert organisaties om de door Ivanti beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren.

Reacties (2)
25-07-2023, 15:51 door Anoniem
Ik snap de inschatting van NCSC niet dat risico op DoS als ‘low’ in de boeken staat.
Als ik ASD goed begrijp kan een aanvaller hiermee als admin de hele omgeving leeggooien, inclusief alle beheerde mobiele devices.
25-07-2023, 20:08 door Anoniem
Door Anoniem: Ik snap de inschatting van NCSC niet dat risico op DoS als ‘low’ in de boeken staat.
Als ik ASD goed begrijp kan een aanvaller hiermee als admin de hele omgeving leeggooien, inclusief alle beheerde mobiele devices.

En dan zet je de backup terug en ga je weer verder.

Er zijn voor een aanvaller veel interessantere dingen te halen met deze vulnerability dan een organisatie een beetje downtime bezorgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.