Uma nova vulnerabilidade de dia zero que afeta um produto do provedor de software corporativo Ivanti, com sede nos EUA, foi explorada em um ataque direcionado ao governo norueguês.
As autoridades norueguesas anunciaram na segunda-feira que uma dúzia de ministérios do governo foram alvo de um ataque cibernético envolvendo uma vulnerabilidade anteriormente desconhecida.
A Autoridade de Segurança Nacional do país esclareceu posteriormente que o ataque envolveu a exploração de CVE-2023-35078, uma vulnerabilidade de dia zero que afeta o Endpoint Manager Mobile (EPMM) da Ivanti, anteriormente conhecido como MobileIron Core.
O EPMM é um mecanismo de software de gerenciamento móvel amplamente usado que permite que as equipes de TI definam políticas para dispositivos móveis, aplicativos e conteúdo.
Segundo nota publicada nesta segunda-feira pela Ivanti para CVE-2023-35078a falha é um problema de acesso não autenticado à API que pode ser explorado por agentes de ameaças remotas “para potencialmente acessar informações de identificação pessoal dos usuários e fazer alterações limitadas no servidor”.
“Recebemos informações de uma fonte confiável indicando que houve exploração. Continuamos trabalhando com nossos clientes e parceiros para investigar esta situação”, disse Ivanti. “Estamos cientes apenas de um número muito limitado de clientes que foram afetados.”
A vulnerabilidade de desvio de autenticação foi classificada como ‘crítica’ e afeta todas as versões suportadas, incluindo 11.10, 11.9 e 11.8, bem como versões mais antigas. O fornecedor correu para lançar um patch e as organizações foram aconselhadas a instalá-lo o mais rápido possível devido à forma como fácil é explorar a falha.
O pesquisador de segurança Kevin Beaumont configurar um pote de mel para monitorar CVE-2023-35078 e ele já tem visto tentativas de exploração.
Existem muitos sistemas expostos à internetprincipalmente nos Estados Unidos e na Europa.
O fornecedor, cuja oferta inclui produtos de segurança cibernética, enfrentou creuticismo por decidir inicialmente não tornar seu aviso público – inicialmente estava atrás de um acesso pago e as informações de exploração estavam ocultas.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também divulgou um comunicado, esclarecendo que o dia zero pode ser explorado por um invasor com acesso a caminhos de API específicos para obter informações como nome, número de telefone e outros detalhes do dispositivo móvel.
As alterações de configuração que podem ser feitas por um invasor incluem a criação de uma conta de administrador que pode fazer outras modificações no sistema de destino.
A CISA atualmente lista nove falhas de produtos Ivanti – não inclui o último dia zero. Todas essas falhas de segurança afetam os produtos Pulse Connect Secure e MobileIron, que em 2020.
