EUA e Noruega afirmam que hackers têm aproveitado brecha zero-day da Ivanti desde abril

Hackers aproveitaram uma falha zero-day no software de gerenciamento de endpoints móveis da Ivanti, que passou despercebida por pelo menos três meses, segundo agências de segurança cibernética dos Estados Unidos e Noruega.

Foi confirmado na semana passada que os hackers comprometeram várias agências governamentais norueguesas ao explorar uma vulnerabilidade não descoberta anteriormente no Ivanti Endpoint Manager Mobile (EPMM; antes conhecido como MobileIron Core), software também utilizado por departamentos governamentais dos Estados Unidos e Reino Unido.

Embora o impacto dos ciberataques nos ministérios da Noruega seja desconhecido, a exploração bem-sucedida da falha, rastreada como CVE-2023-35078, permite o acesso não autenticado às informações pessoais dos usuários e a capacidade de fazer alterações no servidor vulnerável. A CISA alertou na semana passada que a falha poderia ser explorada para criar uma conta de administrador em um servidor vulnerável, permitindo mais alterações na configuração do servidor.

A CISA, juntamente com o Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO, na sigla em inglês), divulgou um aviso na terça-feira, alertando que os invasores têm abusado da falha zero-day desde abril, antes de sua descoberta. O aviso explica que atores apoiados pelo governo “aproveitaram roteadores de escritórios pequenos/home office (SOHO), incluindo roteadores ASUS”, como proxies para ocultar a fonte de seus ataques. Também alerta que os hackers estão explorando uma segunda vulnerabilidade, rastreada como CVE-2023-35081, que reduz a complexidade da execução dos ataques. Em um aviso publicado na sexta-feira, a Ivanti alertou que o novo bug de gravação remota de arquivo arbitrário pode permitir que um ator ameaçador crie, modifique ou exclua arquivos no servidor Ivanti EPMM, e disse que ele pode ser usado em conjunto com a falha anterior para contornar as restrições de autenticação do administrador.

A Ivanti lançou uma correção para o primeiro zero-day em 23 de julho e outra para a vulnerabilidade em 28 de julho. A CISA adicionou ambas as falhas ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, dando às agências civis federais até 21 de agosto para aplicar as correções.

A CISA e o NCSC-NO também instaram as agências a usar o aviso para procurar possíveis comprometimentos em seus sistemas e relatar imediatamente quaisquer problemas.

A CISA observou que atores apoiados pelo governo já foram conhecidos por explorar vulnerabilidades anteriores do MobileIron e intrusões anteriormente ligadas a hackers patrocinados pelo estado chinês. “Consequentemente, a CISA e o NCSC-NO estão preocupados com o potencial de exploração generalizada em redes do governo e do setor privado”, diz o aviso.

A Ivanti ainda não respondeu às perguntas da TechCrunch. Em um artigo de conhecimento da base de dados público, a empresa observa que “conhecemos apenas alguns clientes que foram afetados”, sugerindo que a lista de vítimas vai além do governo norueguês.

De acordo com o Shodan, um mecanismo de busca para dispositivos expostos publicamente, ainda existem mais de 2.200 portais MobileIron expostos à internet, a maioria localizada nos Estados Unidos.