A Agência Nacional de Segurança da Noruega (NSM) confirmou que cibercriminosos aproveitaram-se de uma vulnerabilidade zero-day na solução Endpoint Manager Mobile (EPMM) da Ivanti para comprometer uma plataforma de software utilizada por 12 ministérios no país.
VEJA TAMBÉM: SOC como serviço: O impacto das soluções gerenciadas
O ataque cibernético, embora grave, não afetou o Escritório do Primeiro Ministro, o Ministério da Defesa, o Ministério da Justiça e o Ministério das Relações Exteriores da Noruega. No entanto, a Agência Norueguesa de Proteção de Dados (DPA) foi notificada sobre o incidente, o que indica que os hackers podem ter obtido acesso e/ou exfiltrado dados sensíveis dos sistemas comprometidos, resultando em uma violação de dados.
A NSM ressaltou a singularidade da vulnerabilidade, revelando que ela foi descoberta pela primeira vez na Noruega. Por essa razão, eles tomaram cuidado ao divulgar informações sobre a vulnerabilidade prematuramente, pois isso poderia possibilitar seu uso indevido não só em território norueguês, mas também no restante do mundo.
Com a vulnerabilidade identificada como CVE-2023-35078, o Centro Nacional de Segurança Cibernética da Noruega (NCSC) notificou todos os clientes conhecidos do MobileIron Core no país sobre a existência de uma atualização de segurança para corrigir esse bug de dia-zero que estava sendo ativamente explorado.
A falha de segurança (CVE-2023-35078) trata-se de uma vulnerabilidade de bypass de autenticação que afeta todas as versões suportadas do software de gerenciamento de dispositivos móveis Endpoint Manager Mobile (EPMM) da Ivanti, incluindo versões não suportadas e descontinuadas.
A exploração bem-sucedida dessa vulnerabilidade permite que atores de ameaças remotas acessem caminhos específicos da API sem exigir autenticação. Isso significa que um invasor que tenha acesso a esses caminhos da API pode obter informações pessoalmente identificáveis (PII) como nomes, números de telefone e outros detalhes de dispositivos móveis de usuários em um sistema vulnerável.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um aviso alertando sobre a gravidade do problema e enfatizando que um atacante pode realizar outras alterações de configuração, incluindo a criação de uma conta administrativa do EPMM que possibilita alterações adicionais em um sistema vulnerável.
A fim de evitar danos potencialmente graves, a Ivanti confirmou que o bug zero-day estava sendo explorado em ataques reais e aconselhou seus clientes a agirem imediatamente para garantir a proteção total.
O impacto deste incidente vai além das fronteiras norueguesas. De acordo com a plataforma de escaneamento de exposição à Internet, Shodan, mais de 2.900 portais de usuários do MobileIron estão atualmente expostos online, incluindo cerca de três dúzias vinculados a agências governamentais locais e estaduais dos EUA.
A maioria desses servidores expostos está localizada nos Estados Unidos, mas também existem servidores notáveis em países como Alemanha, Reino Unido e Hong Kong. Isso torna crucial que todos os administradores de rede instalem rapidamente os patches mais recentes do Ivanti Endpoint Manager Mobile (MobileIron) para proteger seus sistemas contra ataques.
O ataque cibernético atual não é um incidente isolado para a Noruega. O país já relatou outros ataques em que hackers estatais chineses e russos miraram em seus sites governamentais e no parlamento.
Em junho do ano passado, a NSM informou que hacktivistas russos derrubaram vários sites governamentais noruegueses em ataques de negação de serviço (DDoS).
Já em março de 2021, o grupo de hackers patrocinados pelo estado chinês, Hafnium, foi vinculado a outro incidente em que eles comprometeram os sistemas do parlamento da Noruega e roubaram dados por meio da exploração das vulnerabilidades ProxyLogon do Microsoft Exchange.
Em agosto de 2020, várias contas de e-mail do Parlamento Norueguês foram alvo de ataques de força bruta, e este incidente foi associado pelo Ministério de Relações Exteriores da Noruega, em dezembro de 2020, ao grupo de hackers patrocinado pelo estado russo, APT 28.
Em resposta a esses ataques e à crescente ameaça cibernética global, é fundamental que a Noruega e outros países adotem soluções de cibersegurança de última geração para proteger seus ativos digitais e informações confidenciais.
A International IT está comprometida em oferecer serviços e soluções líderes em cibersegurança e TI, ajudando organizações a se protegerem contra os desafios cada vez maiores do mundo digital em constante evolução.
Mantenha-se atualizado com as últimas notícias e informações sobre segurança cibernética, e lembre-se de sempre aplicar as atualizações e patches mais recentes em seus sistemas para garantir uma defesa robusta contra ameaças emergentes. A segurança cibernética é uma responsabilidade compartilhada, e juntos podemos construir um ambiente digital mais seguro e resiliente. Preencha o formulário abaixo e descubra como a International IT e a Fortinet podem te ajudar.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
