Norveç Ulusal Güvenlik Otoritesi (NSM), saldırganların ülkedeki 12 bakanlık tarafından kullanılan bir yazılım platformunu ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) çözümünde sıfır gün güvenlik açığı kullandığını doğruladı.
Norveç Güvenlik ve Hizmet Örgütü (DSS) Pazartesi günü yaptığı açıklamada, siber saldırının Norveç'in Başbakanlığı, Savunma Bakanlığı, Adalet Bakanlığı ve Dışişleri Bakanlığı'nı etkilemediğini söyledi.
Norveç Veri Koruma Otoritesi (DPA) da olay hakkında bilgilendirildi, bu da bilgisayar korsanlarının tehlikeye atılan sistemlerden hassas verilere erişebileceğini ve/veya ekstrelenmiş olabileceğini ve bir veri ihlaline yol açtığını gösterdi.
Diyerek şöyle devam etti: "Bu güvenlik açığı benzersizdi ve Norveç'te ilk kez keşfedildi. Güvenlik açığı hakkındaki bilgileri çok erken yayınlasaydık, Norveç'te ve dünyanın geri kalanında başka bir yerde kötüye kullanılmasına katkıda bulunabilirdi." dedi NSM.
Ulusal Güvenlik Ajansı Direktörü Sofie Nystrøm, "Güncelleme artık genellikle mevcut ve ne tür bir güvenlik açığı olduğunu duyurmak ihtiyatlı.
Norveç Ulusal Siber Güvenlik Merkezi (NCSC), Norveç'teki bilinen tüm MobileIron çekirdek müşterilerini, aktif olarak sömürülen sıfır gün hatasını (CVE-2023-35078 olarak izlenir) ele almak için bir güvenlik güncellemesinin varlığı konusunda bilgilendirdi.
Bir öneri olarak, NCSC bu sistem sahiplerini gelen saldırıları mümkün olan en kısa sürede engellemek için güvenlik güncellemeleri kurmaya çağırdı.
CVE-2023-35078 Güvenlik Hata, Ivanti'nin Endpoint Manager Mobile (EPMM) Mobil Cihaz Yönetim Yazılımının (eski MobileIron Core) tüm desteklenen sürümlerini ve desteklenmeyen ve yaşam sonu sürümlerini etkileyen bir kimlik doğrulama baypas güvenlik açığıdır.
Başarılı sömürü, uzaktan tehdit aktörlerinin kimlik doğrulama gerektirmeden belirli API yollarına erişmelerini sağlar.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), "Bu API yollarına erişimi olan bir saldırgan, isimler, telefon numaraları ve savunmasız bir sistemdeki kullanıcılar için diğer mobil cihaz detayları gibi kişisel olarak tanımlanabilir bilgilere (PII) erişebilir." Danışma Pazartesi günü yayınlandı.
"Bir saldırgan, savunmasız bir sistemde daha fazla değişiklik yapabilecek bir EPMM yönetim hesabı oluşturmak da dahil olmak üzere başka yapılandırma değişiklikleri de yapabilir."
Şirket, sıfır günün saldırılarda sömürüldüğünü doğruladı ve müşterileri "tam olarak korunduğunuzdan emin olmak için hemen harekete geçmenin kritik olduğu konusunda uyardı.
Shodan'ın internet maruziyet tarama platformuna göre, şu anda çevrimiçi olarak 2.900'den fazla MobileIRir kullanıcı portalı açıklanıyor ve bunlardan yaklaşık üç düzine ABD yerel ve eyalet devlet kurumlarıyla bağlantılı.
Bu açık sunucuların çoğu ABD'de, Almanya, Birleşik Krallık ve Hong Kong gibi diğer önemli yerlerle.
Bunun ışığında, tüm ağ yöneticilerinin sistemlerini saldırılardan korumak için en son Ivanti Endpoint Manager Mobile (MobileIRN) yamalarını derhal yüklemesi çok önemlidir.
Norveç, Çin ve Rus devlet hackerlarının hükümet web sitelerini ve ülkenin parlamentosunu hedef aldığı diğer siber saldırıları açıkladı.
Geçen yıl, Haziran ayında NSM, Rus hacktivistlerinin DDOS saldırılarında birden fazla Norveç hükümet web sitesini indirdiğini söyledi.
Mart 2021'de Çin devlet destekli Hafnium Hacking Grubu, Norveç parlamentosu sistemlerini ihlal ettikleri ve Proxylogon Microsoft Exchange güvenlik açıklarından yararlanarak veri çaldıkları başka bir olaya bağlandı.
Ağustos 2020'den gelen bir başka saldırıda, Ağustos ayında birden fazla Norveç Parlamentosu e-posta hesapları kaba zorlandı. Bu olay, Norveç Dışişleri Bakanı tarafından Aralık 2020'de Rus APT 28 devlet destekli hack grubuna bağlandı.
Ivanti Yamaları Mobileiron Saldırılarda Sömürü Sıralı Gün Böcek
Norveç hükümeti BT sistemleri sıfır gün kusurunu kullanarak hacklendi
Cisa, Govt ajanslarını saldırılarda sömürülen ivanti böceklerini yamaya uyardı
Apple, iPhone'lara karşı saldırılarda kullanılan yeni sıfır günleri düzeltir
Adobe, sömürülen Coldfusion CVE-2023-29298 Kusur için Yama Bypass'ı düzeltiyor
Kaynak: Bleeping Computer