Otoritas Keamanan Nasional Norwegia (NSM) telah mengonfirmasi bahwa penyerang menggunakan kerentanan zero-day dalam solusi Endpoint Manager Mobile (EPMM) Ivanti untuk menembus platform perangkat lunak yang digunakan oleh 12 kementerian di negara tersebut.
Organisasi Keamanan dan Layanan Norwegia (DSS) dikatakan pada hari Senin bahwa serangan siber tidak memengaruhi Kantor Perdana Menteri Norwegia, Kementerian Pertahanan, Kementerian Kehakiman, dan Kementerian Luar Negeri.
Otoritas Perlindungan Data Norwegia (DPA) juga diberitahu tentang insiden tersebut, yang menunjukkan bahwa peretas mungkin telah memperoleh akses ke dan/atau mengekstraksi data sensitif dari sistem yang disusupi, yang menyebabkan pelanggaran data.
“Kerentanan ini unik, dan ditemukan untuk pertama kalinya di sini di Norwegia. Jika kami merilis informasi tentang kerentanan terlalu dini, hal itu dapat menyebabkannya disalahgunakan di tempat lain di Norwegia dan di seluruh dunia,” NSM dikatakan.
“Pembaruan sekarang tersedia secara umum dan sebaiknya diumumkan jenis kerentanannya, kata Sofie Nystrøm, direktur Badan Keamanan Nasional.
Pusat Keamanan Siber Nasional Norwegia (NCSC) juga memberi tahu semua pelanggan MobileIron Core yang dikenal di Norwegia tentang adanya pembaruan keamanan untuk mengatasi bug zero-day yang dieksploitasi secara aktif ini (dilacak sebagai CVE-2023-35078).
Sebagai rekomendasi, NCSC mendesak pemilik sistem ini untuk menginstal pembaruan keamanan guna memblokir serangan yang masuk sesegera mungkin.
Kerentanan bypass autentikasi yang dieksploitasi secara aktif
Itu bug keamanan CVE-2023-35078 adalah kerentanan bypass autentikasi yang memengaruhi semua versi yang didukung dari EPMM Ivanti) perangkat lunak manajemen perangkat seluler (sebelumnya MobileIron Core), serta rilis yang tidak didukung dan rilis akhir masa pakainya.
Eksploitasi yang berhasil memungkinkan pelaku ancaman jarak jauh untuk mengakses jalur API tertentu tanpa memerlukan otentikasi.
“Seorang penyerang dengan akses ke jalur API ini dapat mengakses informasi yang dapat diidentifikasi secara pribadi (PII) seperti nama, nomor telepon, dan detail perangkat seluler lainnya untuk pengguna pada sistem yang rentan,” Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) memperingatkan dalam sebuah penasehat yang diterbitkan pada hari Senin.
“Penyerang juga dapat membuat perubahan konfigurasi lainnya, termasuk membuat akun administratif EPMM yang dapat membuat perubahan lebih lanjut pada sistem yang rentan.”
Perusahaan telah mengkonfirmasi bahwa zero-day sedang dieksploitasi dalam serangan dan juga memperingatkan pelanggan bahwa sangat penting untuk “segera mengambil tindakan untuk memastikan Anda terlindungi sepenuhnya.
Menurut platform pemindaian eksposur Internet Shodan, lebih dari 2.900 portal pengguna MobileIron saat ini diekspos secara online, di antaranya sekitar tiga lusin terkait dengan lembaga pemerintah lokal dan negara bagian AS.
Sebagian besar server yang terbuka ini berada di Amerika Serikat, dengan lokasi terkenal lainnya termasuk Jerman, Inggris Raya, dan Hong Kong.
Sehubungan dengan hal ini, sangat penting bagi semua administrator jaringan untuk segera menginstal tambalan Ivanti Endpoint Manager Mobile (MobileIron) terbaru untuk melindungi sistem mereka dari serangan.
