Um ataque contra vários ministérios do governo norueguês obrigou as agências federais dos EUA a corrigirem um erro de software da Ivanti.
O erro em questão trata-se de uma falha relacionada com um desvio de autenticação no software de gestão de dispositivos Endpoint Manager Mobile (EPMM) da Ivanti, anteriormente conhecido como MobileIron Core. A empresa norte-americana emitiu correcções para esta vulnerabilidade, e o governo norueguês revelou que a falha tinha sido explorada num ataque que afectou 12 dos seus ministérios.
Neste contexto, a Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) adicionou este bug ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Num alerta emitido, a CISA afirmou que “estes tipos de vulnerabilidades são vectores de ataque frequentes para ciber-actores maliciosos e representam riscos significativos para a empresa federal”.
Identificado como CVE-2023-35078, o bug de desvio de autenticação recebeu a classificação CVSS máxima possível de 10, com a Ivanti a alertar os seus clientes que era fundamental que estes corrigissem o seu software imediatamente. Segundo a própria, este bug permitia o acesso não autorizado à funcionalidade ou aos recursos restritos da solução, permitindo que os agentes da ameaça “acedessem potencialmente às informações de identificação pessoal dos utilizadores e fizessem alterações limitadas ao servidor”. Através da CISA ficou-se a perceber, também, que este erro de software permitia o acesso não autenticado a caminhos específicos da API – “Um atacante com acesso a estes caminhos API pode aceder a informação pessoal identificável (PII), como nomes, números de telefone e outros detalhes de dispositivos móveis para utilizadores num sistema vulnerável”.
As autoridades norueguesas não disseram se os dados tinham sido exfiltrados durante o ataque aos seus ministérios, no entanto, afirmam que a Autoridade de Proteção de Dados do país tinha sido notificada, o que indica que pode haver preocupações de que a informação tenha sido roubada: “Esta vulnerabilidade era única e foi descoberta pela primeira vez aqui na Noruega”, disse Sofie Nystrøm, Directora-Geral da Autoridade de Segurança Nacional da Noruega. “Se tivéssemos publicado informações sobre a vulnerabilidade demasiado cedo, isso poderia ter contribuído para o seu abuso noutros locais da Noruega e no resto do mundo. A atualização está agora amplamente disponível e é prudente anunciar de que tipo de vulnerabilidade se trata”, acrescentou a a mesma.
A continuação do artigo original via SC Magazine pode ser lido aqui.
