Norveç Bakanlıkları Güvenlik ve Hizmet Teşkilatı’na saldırı gerçekleştirmek için Ivanti yazılımındaki sıfır günlük kimlik doğrulama atlama güvenlik açığından yararlanıldı.
Saldırı, Norveç hükümetinin 12 bakanlığının iletişim ağlarını etkiledi. orijinal ifadebu departmanlardaki çalışanların mobil hizmetlere ve e-postaya erişmesini engelliyor.
Hükümet, Başbakanlık ofisi, Savunma Bakanlığı, Adalet ve Acil Durum Hazırlık Bakanlığı ve Dışişleri Bakanlığı’nın etkilenmediğini kaydetti.
Ivanti Güvenlik Açığı Neydi?
göre bir açıklama gönderildi Norveç Güvenlik Otoritesi tarafından, kusur, kimliği doğrulanmamış bir uzaktan API erişim güvenlik açığıdır (CVE-2023-35078) Ivanti Endpoint Manager’da.
Hata, uzaktaki bir saldırganın kimlik doğrulama atlaması nedeniyle bilgi almasına, bir yönetici hesabı eklemesine ve cihazın yapılandırmasını değiştirmesine olanak tanır. Güvenlik açığı, Sürüm 11.4 ve daha eski sürümler dahil olmak üzere çeşitli yazılım sürümlerini etkiler; 11.10’dan sonraki sürümler ve sürümler de risk altındadır.
A ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatından (CISA) yapılan açıklama güvenlik açığının, bir siber saldırganın savunmasız bir sistemdeki kullanıcılar için adlar, telefon numaraları ve diğer mobil cihaz ayrıntıları gibi kişisel olarak tanımlanabilir bilgilere (PII) erişmek için kullanabileceği belirli API yollarına kimliği doğrulanmamış erişime izin verdiğini söyledi.
Kiralanabilir kıdemli araştırma mühendisi Satnam Narang bir blog gönderisinde söyledi bir saldırganın, bir sunucunun yapılandırma dosyasını değiştirmek için sınırsız API yollarını potansiyel olarak kullanabileceği, bunun da uç nokta yöneticisinin yönetim arabirimi için EPMM (Endpoint Manager Mobile’ın kısaltması) olarak bilinen ve daha sonra güvenlik açığı bulunan bir sistemde daha fazla değişiklik yapmak için kullanılabilecek bir yönetici hesabı oluşturulmasıyla sonuçlanabileceği.
göre bir yazan Ivanti, şirket güvenilir bir kaynaktan istismarın gerçekleştiğini gösteren bilgi almıştır. bir takip Ivanti’nin blogu güvenlik açığını öğrendikten sonra, “sorunu çözmek için kaynakları hemen harekete geçirdik ve şu anda ürünün desteklenen sürümleri için bir yamaya sahibiz. Daha eski bir sürüm kullanan müşteriler için, düzeltmeye yardımcı olacak bir RPM komut dosyamız var.”
Şirket ayrıca etkilenen çok sınırlı sayıda müşterinin farkında olduğunu ve durumu araştırmak için müşteriler ve ortaklarla aktif olarak çalıştığını söyledi.
Hükümetin Tepkisi Nedir?
Norveç ulusal siber güvenlik yetkilileri, güvenlik açığının etkisini kapatmaya yardımcı olmak için Ivanti ve diğer ortaklarla devam eden bir diyalog içinde olduklarını ve güvenlik açığının hem Norveç’te hem de küresel olarak neden olabileceği riski azaltmak ve en aza indirmek için bir dizi önlem alındığını söyledi.
Norveç’teki bilinen tüm MobileIron Core kullanıcıları, mevcut güvenlik güncellemelerinden haberdar edildi ve hükümet, güvenlik güncellemelerinin hemen yüklenmesini tavsiye ediyor.
Norveç Ulusal Güvenlik Kurumu genel müdürü Sofie Nystrøm, “Bu güvenlik açığı benzersizdi ve ilk kez burada, Norveç’te keşfedildi. Güvenlik açığı hakkında çok erken bilgi yayınlamış olsaydık, bu güvenlik açığının Norveç’te ve dünyanın geri kalanında kötüye kullanılmasına katkıda bulunabilirdi. Güncelleme şu anda geniş çapta mevcut ve ne tür bir güvenlik açığı olduğunu duyurmak ihtiyatlı bir davranış.”