De Noorse overheid en organisaties zijn zeker sinds april aangevallen via twee zerodaylekken in Ivanti Endpoint Manager Mobile (EPMM), dat eerder nog bekendstond als MobileIron Core. Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren.

Twee kwetsbaarheden in de software (CVE-2023-35078 en CVE-2023-35081) maken het mogelijk voor een aanvaller om willekeurige bestanden naar de webapplicatieserver te schrijven waarop EPMM draait. Zo is het mogelijk om gevoelige informatie van gebruikers te stelen en aanpassingen aan het systeem te maken. Ook is het mogelijk om webshells op de server te installeren waarmee er toegang tot het systeem wordt behouden en verdere aanvallen zijn uit te voeren.

Op 23 juli kwam Ivanti met een beveiligingsupdate voor CVE-2023-35078. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Vervolgens verscheen op 28 juli een patch voor CVE-2023-35081. Volgens het CISA hebben aanvallers tenminste vanaf april misbruik van de kwetsbaarheden gemaakt voor het aanvallen van de Noorse overheid en organisaties die met EPMM werken. Daarbij was het stelen van informatie het doel.

"Mobile device management (MDM) systemen zijn een aantrekkelijk doelwit voor aanvallers, omdat ze toegang tot duizenden mobiele apparaten bieden en APT-actoren hebben een eerdere kwetsbaarheid in MobileIron misbruikt", aldus het CISA. De overheidsinstantie is bang voor grootschalig misbruik gericht tegen de netwerken van overheden en bedrijven. Het CISA heeft meer details vrijgegeven waarmee organisaties kunnen kijken of ze via de zerodays zijn gecompromitteerd.