Ciberseguridad 360 | Explotación de Vulnerabilidad Zero-day en Ivanti causa estragos en el Gobierno Noruego

Una nueva vulnerabilidad de zero-day que afecta a un producto del proveedor de software empresarial estadounidense Ivanti ha sido explotada en un ataque dirigido al gobierno noruego.

La Autoridad de Seguridad Nacional de Noruega (NSM) ha confirmado que los atacantes utilizaron una vulnerabilidad de d�a cero en la soluci�n Endpoint Manager Mobile (EPMM) de Ivanti para vulnerar una plataforma de software utilizada por 12 ministerios del pa�s.

La Organizaci�n Noruega de Seguridad y Servicios (DSS) dijo el lunes que el ciberataque no afect� a la Oficina del Primer Ministro de Noruega, el Ministerio de Defensa, el Ministerio de Justicia y el Ministerio de Asuntos Exteriores.

Tambi�n se notific� el incidente a la Autoridad Noruega de Protecci�n de Datos (DPA), lo que indica que los piratas inform�ticos podr�an haber accedido a datos sensibles de los sistemas comprometidos o haberlos extra�do, lo que habr�a dado lugar a una violaci�n de datos.

"Esta vulnerabilidad era �nica y se descubri� por primera vez en Noruega. Si hubi�ramos divulgado la informaci�n sobre la vulnerabilidad demasiado pronto, podr�a haber contribuido a que se hiciera un uso indebido de ella en otros lugares de Noruega y del resto del mundo", afirma el NSM.

"La actualizaci�n ya est� disponible de forma general y es prudente anunciar de qu� tipo de vulnerabilidad se trata", afirma Sofie Nystr�m, directora de la Agencia Nacional de Seguridad.

El Centro Nacional Noruego de Ciberseguridad (NCSC) tambi�n notific� a todos los clientes conocidos de MobileIron Core en Noruega la existencia de una actualizaci�n de seguridad para solucionar este fallo de zero-day activamente explotado (rastreado como CVE-2023-35078).

Como recomendaci�n, el NCSC inst� a los propietarios de estos sistemas a instalar las actualizaciones de seguridad para bloquear los ataques entrantes lo antes posible.

Vulnerabilidad de elusi�n de autenticaci�n explotada activamente

El fallo de seguridad CVE-2023-35078 es una vulnerabilidad de omisi�n de autenticaci�n que afecta a todas las versiones compatibles del software de gesti�n de dispositivos m�viles Endpoint Manager Mobile (EPMM) de Ivanti (anteriormente MobileIron Core), as� como a las versiones no compatibles y al final de su vida �til.

Una explotaci�n exitosa permite a los actores de amenazas remotas acceder a rutas API espec�ficas sin requerir autenticaci�n.

"Un atacante con acceso a estas rutas API puede acceder a informaci�n de identificaci�n personal (PII), como nombres, n�meros de tel�fono y otros detalles de dispositivos m�viles de los usuarios de un sistema vulnerable", advirti� la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) en un aviso publicado el lunes.

"Un atacante tambi�n puede hacer otros cambios de configuraci�n, incluyendo la creaci�n de una cuenta administrativa EPMM que puede hacer m�s cambios en un sistema vulnerable."

La empresa ha confirmado que el zero-day se est� explotando en ataques y tambi�n ha advertido a los clientes de que es fundamental "tomar medidas inmediatamente para asegurarse de que est�n totalmente protegidos".

Seg�n la plataforma de exploraci�n de la exposici�n en Internet de Shodan, m�s de 2.900 portales de usuarios de MobileIron est�n actualmente expuestos en l�nea, de los cuales alrededor de tres docenas est�n vinculados con agencias gubernamentales locales y estatales de Estados Unidos.

Portales de usuario Ivanti EPMM (MobileIron) expuestos (Fuente: Shodan)

La mayor�a de estos servidores expuestos se encuentran en los Estados Unidos, con otras ubicaciones notables incluyendo Alemania, el Reino Unido y Hong Kong.

En vista de ello, es crucial que todos los administradores de red instalen r�pidamente los �ltimos parches de Ivanti Endpoint Manager Mobile (MobileIron) para proteger sus sistemas de los ataques.

Noruega ha revelado otros ciberataques en los que hackers estatales chinos y rusos tuvieron como objetivo sus sitios web gubernamentales y el parlamento del pa�s.

El a�o pasado, en junio, el NSM dijo que hacktivistas rusos derribaron m�ltiples sitios web del gobierno noruego en ataques DDoS.

En marzo de 2021, el grupo de piratas inform�ticos Hafnium, patrocinado por el Estado chino, fue vinculado a otro incidente en el que penetraron en los sistemas del Parlamento noruego y robaron datos aprovechando vulnerabilidades de ProxyLogon Microsoft Exchange.

En otro ataque de agosto de 2020, se forzaron m�ltiples cuentas de correo electr�nico del Parlamento noruego. Este incidente fue vinculado por el Ministro de Asuntos Exteriores de Noruega en diciembre de 2020 al grupo de hacking ruso APT 28 patrocinado por el Estado.

Fuente: bleepingcomputer