De kwetsbaarheid in Ivanti-software wordt al zeker sinds april uitgebuit. Dat weten cyberbeveiligingsdiensten van Noorwegen en de VS.
CISA uit de VS en het Norwegian National Cyber Security Centre (NCSC-NO) brengen samen een adviesrapport uit, waarin ze dieper ingaan op de zeroday in Ivanti-software. Hackers zouden de zeroday voor het eerst in april hebben misbruikt.
Via de kwetsbaarheid CVE-2023-35078, vonden hackers een doorgang naar verschillende overheden. Noorse autoriteiten kwamen er al achter dat hackers via de kwetsbaarheid een softwareplatform konden binnendringen dat door twaalf Noorse ministeries wordt gebruikt. De Ivanti Endpoint Manager Mobile, dat de kwetsbaarheid bevat, wordt ook door overheidsdiensten in de VS en het VK gebruikt.
Lees ook: Noorse ministeries gehackt door kwetsbaarheid in Ivanti-software
“Mobile Device Management (MDM)-systemen zijn aantrekkelijke doelwitten voor kwaadwillenden omdat ze verhoogde toegang bieden tot duizenden mobiele apparaten, en APT-actoren hebben misbruik gemaakt van een eerdere MobileIron-kwetsbaarheid. Bijgevolg maken CISA en NCSC-NO zich zorgen over het potentieel voor wijdverbreide uitbuiting in netwerken van de overheid en de particuliere sector”, waarschuwt het rapport.
Tweede, krachtige kwetsbaarheid
Ivanti bracht in korte tijd een patch uit voor de zeroday. Dat ontnam de toegang voor hackers echter niet, doordat zij een tweede kwetsbaarheid vonden die ze konden uitbuiten. CVE-2023-35081 zou het hackers eenvoudiger maken om aanvallen uit te voeren. Hackers kunnen via de kwetsbaarheid bestanden maken, aanpassen en verwijderen, weet Ivanti. Samen met de eerste zeroday geeft het hackers zelfs de mogelijkheid om plaasten binnen te dringen die administrator-authenticatie vereisen. Voor de tweede kwetsbaarheid is ook een patch beschikbaar.
Het rapport adviseert overheden om hun systemen te onderzoeken op mogelijke sporen van inbraak. Noorwegen en de VS leggen de deadline op van 21 augustus om beide patches te installeren.
1 dag geleden
