0
0
O que se sabe sobre os ataques?
Na segunda-feira, o governo norueguês disse que o ataque foi detectado na plataforma de TIC usada pelos 12 ministérios, embora não tenha nomeado a plataforma na época.
A plataforma de TIC – agora confirmada como Ivanti Endpoint Manager Mobile ( anteriormente MobileIron Core ) – é usada por todos os ministérios noruegueses, exceto o Gabinete do Primeiro Ministro, o Ministério da Defesa, o Ministério da Justiça e Segurança Pública e o Ministério das Relações Exteriores.
“Detectamos uma vulnerabilidade anteriormente desconhecida no software de um de nossos fornecedores. Esta vulnerabilidade foi explorada por terceiros desconhecidos. Esta vulnerabilidade já foi corrigida. Ainda é muito cedo para dizer qualquer coisa sobre quem está por trás do ataque ou a extensão do ataque. Nossas investigações e as investigações policiais fornecerão mais respostas”, disse Erik Hope, diretor-geral da Organização de Serviços e Segurança do Governo Norueguês (DSS).
De acordo com a Reuters , o ataque foi detectado em 12 de julho devido ao tráfego “incomum” na plataforma vulnerável de gerenciamento de terminais móveis.
Como a Norwegian Data Protection Authority também foi notificada sobre o ataque, é provável que os invasores tenham conseguido acessar e/ou roubar dados confidenciais da plataforma comprometida.
Sobre a vulnerabilidade (CVE-2023-35078)
CVE-2023-35078 é uma vulnerabilidade de desvio de autenticação que permite acesso remoto não autenticado à API a caminhos específicos.
“Um invasor com acesso a esses caminhos de API pode acessar informações de identificação pessoal (PII), como nomes, números de telefone e outros detalhes de dispositivos móveis para usuários em um sistema vulnerável. Um invasor também pode fazer outras alterações de configuração, incluindo a criação de uma conta administrativa EPMM que pode fazer alterações adicionais em um sistema vulnerável”, explicou a Agência de Cibersegurança e Infraestrutura (CISA) .
Ivanti disse na segunda-feira que recebeu informações de uma fonte confiável indicando que a exploração ocorreu. “Estamos cientes apenas de um número muito limitado de clientes que foram afetados.”
CVE-2023-35078 afeta todas as versões com suporte do EPMM (v11.10, 11.9 e 11.8) e versões mais antigas sem suporte. A vulnerabilidade foi corrigida nas versões 11.10.0.2, 11.9.1.1 e 11.8.1.1.
A falha tem uma pontuação CVSS “perfeita” de 10,0. O pesquisador de segurança Kevin Beaumont diz que é muito fácil de explorar e recomenda aos administradores que atualizem para uma versão corrigida o mais rápido possível. “Se você não conseguir sair do EOL [versões em fim de vida], desligue o aparelho.”
O mecanismo de busca IoT Shodan pode encontrar mais de 2.900 portais de usuários EPMM voltados para a Internet, principalmente nos EUA e na Europa. Shadowserver mostra resultados semelhantes .
Beaumont diz que a grande maioria das organizações não corrigiu, incluindo organizações governamentais do Reino Unido e dos Estados Unidos. Ele também diz que configurou um honeypot e já está sendo testado por meio da API.
Divulgação de vulnerabilidade
Rumores sobre um zero-day do “Ivanti Endpoint Manager” sendo explorado na natureza circularam pela Internet meio dia antes de Ivanti publicar o post informando aos usuários sobre as atualizações críticas.
Nenhum indicador conhecido de comprometimento foi compartilhado publicamente para permitir que os clientes verifiquem se os invasores atingiram mais do que apenas o governo norueguês.
“Essa vulnerabilidade era única e foi descoberta pela primeira vez aqui na Noruega. Se tivéssemos divulgado as informações sobre a vulnerabilidade muito cedo, isso poderia ter contribuído para o uso indevido em outras partes da Noruega e do resto do mundo. A atualização já está disponível para todos e é prudente anunciar que tipo de vulnerabilidade é”, disse Sofie Nystrøm, diretora da Agência de Segurança Nacional, hoje.
O Centro Nacional de Segurança Cibernética da Noruega notificou todos os proprietários de sistemas conhecidos (empresas) no país que possuem o MobileIron Core disponível na Internet sobre a atualização de segurança lançada.
ATUALIZAÇÃO (26 de julho de 2023, 07:00 ET):
A CISA adicionou o CVE-2023-35078 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, o que significa que as agências do Poder Executivo Civil Federal (FCEB) devem corrigi-lo até 15 de agosto para proteger suas redes contra a exploração.
Respondentes de incidentes mnemônicos foram chamados para responder a um ataque que explora a vulnerabilidade e dizem que é fácil identificar se a vulnerabilidade foi explorada nos sistemas de uma organização.
“Ao revisar seus logs, você poderá ver se o endpoint da API v2 no Ivanti EPMM foi explorado. A API v2 pode ser acessada sem qualquer autenticação alterando o caminho do URI. A documentação da API descreve que https://[servidor principal]/api/v2/ é a URL base para todas as chamadas de API. Se você preceder o caminho para um endpoint vulnerável, não precisará de autenticação para executar comandos como este: https://[core server]/vulnerable/path/api/v2/ ”, observaram eles .
Kevin Beaumont – que apelidou a falha de “MobileIrony” – também explicou como a vulnerabilidade pode ser explorada para fazer coisas como listar informações do usuário, adicionar usuários administrativos, substituir a configuração do sistema, alterar a configuração de dispositivos móveis gerenciados (ou limpá-los!), pesquisar o Active Directory dentro da organização e muito mais.
“Tudo isso pode ser feito com uma solicitação de curl ou até mesmo usando um navegador da web”, diz ele . “Tudo o que você precisa fazer é alterar o caminho da API em alguns caracteres. A API é documentada publicamente, o caminho de endpoint diferente é tudo que você precisa para exploração.”
FONTE: HELP NET SECURITY