Hackers al sinds april in systemen Noorse overheid

Volgens het CISA worden de lekken misbruikt door statelijke actoren. De overheidsorganisatie waarschuwt voor mogelijk wijdverspreid misbruik in zowel overheids- als private sectoren.

Vorige week werd bekend dat een groot aantal Noorse ministeries gehackt was via twee zerodaylekken in de Endpoint Manager Mobile (EPMM) van softwareleverancier Ivanti. Voorheen was EPMM bekend als MobileIron. Voor deze lekken heeft Ivanti inmiddels oplossingen ontwikkeld die met een update doorgevoerd kunnen worden.

Het gaat om de lekken CVE-2023-35078 en CVE-2023-35081 die in combinatie worden misbruikt. Die werden volgens CISA minstens van april tot juli al misbruikt “om informatie te stelen van een aantal Noorse organisaties, en om toegang te krijgen tot een netwerk van een Noorse overheidsorganisatie met als doel dit te compromitteren.”

Aantrekkelijk doelwit

Mobile device managementsystemen zijn volgens de Amerikaanse overheidsorganisatie aantrekkelijk doelen voor aanvallers omdat ze toegang bieden tot duizenden mobiele apparaten.

Met het lek CVE-2023-35078 kan een ongeautoriseerde aanvaller toegang tot het systeem krijgen. De impact daarvan werd bepaald op 10, het hoogst mogelijke niveau. Het tweede lek, CVE-2023-35081, is een zogeheten ‘path traversal’-lek. Daarmee kan een kwaadwillende die administratorrechten heeft willekeurige bestanden naar de EPMM-server schrijven. Hij kan willekeurige OS-commando's uitvoeren met, onder andere, rechten van het tomcat-proces.

De Noorse NCSC-NO heeft een dringend advies uitgevaardigd aan alle Noorse overheidsorganisaties om de update van Ivanti voor beide lekken voor 15 augustus door te voeren. CISA heeft alle federale overheidsorganisaties verplicht hun systemen voor 21 augustus te updaten.