Una vulnerabilidad de día cero en la solución Endpoint Manager Mobile (EPMM) de Ivanti, compañía de software estadounidense que en 2020 adquirió Mobileiron, ha sido explotada para llevar a cabo un ciberataque contra el gobierno de Noruega que ha afectado a una docena de ministerios del país.
Así lo confirmó la Autoridad de Seguridad Nacional de Noruega (NSM) este pasado martes, un día después de que la Organización Noruega de Seguridad y Servicios (DSS) informara por primera vez de este hackeo señalando cuál había sido su objetivo, pero sin especificar la vulnerabilidad que habían aprovechado los atacantes para perpetrarlo.
Según indicó la DSS, el ataque se había dirigido contra la infraestructura TIC utilizada por doce ministerios del país, los cuales no nombró directamente, pero matizó que eran todos salvo la Oficina del Primer Ministro, el Ministerio de Defensa, el Ministerio de Asuntos Exteriores y el Ministerio de Justicia y Seguridad Pública.
"Hemos detectado una vulnerabilidad previamente desconocida en el software de uno de nuestros proveedores. Esta vulnerabilidad ha sido aprovechada por un tercero desconocido y ahora la hemos cerrado. Todavía es demasiado pronto para decir algo sobre quién está detrás del ataque y el alcance de éste. Nuestras investigaciones y las que está llevando a cabo la Policía proporcionarán más respuestas", declaró el director general de la DSS, Erik Hope, en una rueda de prensa en la que también compareció el ministro noruego de Municipios y Distritos, Sigbjørn Gjelsvik.
"Es importante recalcar que el trabajo del gobierno continúa con normalidad. DSS ha iniciado una serie de medidas de seguridad para asegurar la información en la plataforma TIC. Pueden ser necesarias medidas de seguridad adicionales. Esto se evaluará continuamente", recalcó Gjelsvik.
Como hemos comentado, la Autoridad de Seguridad Nacional de Noruega (NSM) confirmó al día siguiente que la vulnerabilidad que habían explotado los hackers era una de día cero que se encontraba en la solución EPMM (anteriormente MobileIron Core) de Ivanti. Según explicó la directora de la NSM, Sofie Nystrøm, inicialmente no pudieron concretar cual era por razones de seguridad, ya que "podría haber contribuido a que se usara indebidamente en otras partes de Noruega y en el resto del mundo".
"Esta vulnerabilidad era única y se descubrió por primera vez aquí en Noruega", afirmó Nystrøm, quien también remarcó que Ivanti ya había lanzado una actualización de seguridad para corregirla y que consideraba prudente anunciar cuál era para que los usuarios de MobileIron Core la instalen y no corran peligro.
Según Reuters, el ciberataque contra la infraestructura TIC del gobierno de Noruega fue detectado el pasado 12 de julio, aunque no vio la luz hasta casi dos semanas después.
Ivanti no tardó en corregir el fallo, que habría afectado a un "número muy limitado" de usuarios
Este pasado lunes, el mismo día en el que la DSS sacó a la luz este incidente, Ivanti reconoció la vulnerabilidad (CVE-2023-35078) indicando que una "fuente creíble", presumiblemente de las autoridades noruegas, había notificado que había sido explotada, si bien aseguraba que solo tenía conocimiento de que había afectado a "un número muy limitado de clientes".
Según explicó, se trataba de una vulnerabilidad de omisión de autenticación en Ivanti EPMM que afectaba a todas las versiones de la solución y permitía que usuarios no autorizados pudieran acceder a funciones o recursos restringidos de la aplicación sin la autenticación adecuada.
"Al enterarnos de la vulnerabilidad, inmediatamente movilizamos recursos para solucionar el problema y ahora tener un parche disponible. Es fundamental que tome medidas de inmediato para asegurarse de estar completamente protegido", advirtió la empresa tecnológica.
La Agencia de Infraestructura y Seguridad Cibernética de EE.UU. (CISA) también lanzó un aviso ese mismo día sobre esta vulnerabilidad, haciéndose eco del comunicado de Ivanti y apuntando lo siguiente:
"Una vulnerabilidad descubierta en Ivanti Endpoint Manager Mobile (EPMM, anteriormente con la marca MobileIron Core) permite el acceso no autenticado a rutas API específicas. Un atacante con acceso a estas rutas API puede acceder a información de identificación personal (PII), como nombres, números de teléfono y otros detalles de dispositivos móviles para usuarios en un sistema vulnerable. Un atacante también puede realizar otros cambios de configuración, incluida la creación de una cuenta administrativa de EPMM que puede realizar más cambios en un sistema vulnerable".
En su aviso, CISA también remarcó que Ivanti ya había lanzado parches para solucionar este fallo de seguridad e insistió en la importancia de que los usuarios de EPMM los instalen de inmediato para proteger sus sistemas ante posibles ataques.