L’autorité norvégienne de sécurité nationale (NSM) a confirmé que les attaquants ont utilisé une vulnérabilité zero-day dans la solution Endpoint Manager Mobile (EPMM) d’Ivanti pour violer une plate-forme logicielle utilisée par 12 ministères dans le pays.
L’Organisation norvégienne de sécurité et de services (DSS) a déclaré lundi que la cyberattaque n’avait pas affecté le bureau du Premier ministre norvégien, le ministère de la Défense, le ministère de la Justice et le ministère des Affaires étrangères.
L’Autorité norvégienne de protection des données (DPA) a également été informée de l’incident, indiquant que les pirates auraient pu accéder et/ou exfiltrer des données sensibles à partir de systèmes compromis, entraînant une violation de données.
« Cette vulnérabilité était unique et a été découverte pour la toute première fois ici en Norvège. Si nous avions publié les informations sur la vulnérabilité trop tôt, cela aurait pu contribuer à son utilisation abusive ailleurs en Norvège et dans le reste du monde », a déclaré le NSM.
« La mise à jour est maintenant généralement disponible et il est prudent d’annoncer de quel type de vulnérabilité il s’agit, explique Sofie Nystrøm, directrice de l’Agence de sécurité nationale.
Le Centre national norvégien de cybersécurité (NCSC) a également informé tous les clients connus de MobileIron Core en Norvège de l’existence d’une mise à jour de sécurité pour résoudre ce bogue zero-day activement exploité (suivi sous le numéro CVE-2023-35078).
En guise de recommandation, le NCSC a exhorté ces propriétaires de systèmes à installer des mises à jour de sécurité pour bloquer les attaques entrantes dès que possible.
Vulnérabilité de contournement d’authentification activement exploitée
Le bogue de sécurité CVE-2023-35078 est une vulnérabilité de contournement d’authentification qui affecte toutes les versions prises en charge du logiciel de gestion des appareils mobiles Ivanti Endpoint Manager Mobile (EPMM) (anciennement MobileIron Core), ainsi que les versions non prises en charge et en fin de vie.
Une exploitation réussie permet aux pirates distants d’accéder à des chemins d’API spécifiques sans nécessiter d’authentification.
« Un attaquant ayant accès à ces chemins d’API peut accéder à des informations personnellement identifiables (PII) telles que des noms, des numéros de téléphone et d’autres détails d’appareils mobiles pour les utilisateurs d’un système vulnérable », a averti l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans un avis publié lundi.
« Un attaquant peut également apporter d’autres modifications à la configuration, y compris la création d’un compte administratif EPMM qui peut apporter d’autres modifications à un système vulnérable. »
La société a confirmé que le jour zéro est exploité dans des attaques et a également averti les clients qu’il est essentiel de « prendre immédiatement des mesures pour vous assurer d’être entièrement protégé ».
Selon la plate-forme d’analyse d’exposition Internet de Shodan, plus de 2 900 portails d’utilisateurs MobileIron sont actuellement exposés en ligne, dont environ trois douzaines sont liés à des agences gouvernementales locales et étatiques américaines.
La plupart de ces serveurs exposés se trouvent aux États-Unis, avec d’autres emplacements notables comme l’Allemagne, le Royaume-Uni et Hong Kong.
Dans ce contexte, il est essentiel que tous les administrateurs réseau installent rapidement les derniers correctifs Ivanti Endpoint Manager Mobile (MobileIron) pour protéger leurs systèmes contre les attaques.
La Norvège a révélé d’autres cyberattaques dans lesquelles des pirates informatiques chinois et russes ont ciblé les sites Web de son gouvernement et le parlement du pays.
L’année dernière, en juin, le NSM a déclaré que des hacktivistes russes avaient détruit plusieurs sites Web du gouvernement norvégien lors d’attaques DDoS.
En mars 2021, le groupe de piratage Hafnium, parrainé par l’État chinois, a été lié à un autre incident au cours duquel il a violé les systèmes du parlement norvégien et volé des données en exploitant les vulnérabilités de ProxyLogon Microsoft Exchange.
Lors d’une autre attaque d’août 2020, plusieurs comptes de messagerie du Parlement norvégien en août ont été forcés. Cet incident a été lié par le ministre norvégien des Affaires étrangères en décembre 2020 au groupe de piratage russe APT 28 parrainé par l’État.