Crédits image : Bryce Durbin / TechCrunch

Des pirates ont exploité une faille de type « zero-day » dans le logiciel de gestion des terminaux mobiles Ivanti pour compromettre une douzaine d’agences gouvernementales norvégiennes – et des milliers d’autres organisations pourraient également être en danger.

L’Organisation norvégienne de sécurité et de service (DSS) a déclaré dans un communiqué lundi qu’une « attaque de données » avait frappé la plate-forme informatique utilisée par 12 ministères. Le gouvernement norvégien n’a pas nommé les ministères touchés, mais le DSS a confirmé que plusieurs bureaux n’avaient pas été affectés, notamment le bureau du Premier ministre norvégien, le ministère de la Défense, le ministère de la Justice et le ministère des Affaires étrangères.

Le DSS a déclaré que l’attaque était le résultat d’une « vulnérabilité précédemment inconnue dans le logiciel de l’un de nos fournisseurs », mais n’a pas donné d’autres détails. Cependant, l’Autorité norvégienne de sécurité nationale (NSM) a confirmé plus tard que les pirates avaient exploité la faille précédemment non découverte dans Ivanti Endpoint Manager Mobile (EPMM ; anciennement MobileIron Core), pour compromettre les agences gouvernementales norvégiennes.

Sofie Nystrøm, directeur général du NSM norvégien, a déclaré que le gouvernement ne pouvait pas divulguer la vulnérabilité dans un premier temps pour des « raisons de sécurité », notant que la faille de sécurité a été découverte pour la « première fois ici en Norvège ».

L’EPMM d’Ivanti permet aux utilisateurs et aux appareils autorisés d’accéder à un réseau d’entreprise ou de gouvernement. La vulnérabilité, répertoriée sous le nom de CVE-2023-35078, est une faille de contournement d’authentification qui affecte toutes les versions prises en charge du logiciel EPMM d’Ivanti, ainsi que les versions plus anciennes et non prises en charge. Si elle est exploitée, la vulnérabilité permet à n’importe qui sur Internet d’accéder à distance au logiciel – sans avoir besoin d’informations d’identification – pour accéder aux informations personnelles des utilisateurs, telles que les noms, les numéros de téléphone et d’autres détails concernant les appareils mobiles des utilisateurs sur un système vulnérable, ainsi que pour apporter des modifications au serveur concerné.

Dans une alerte publiée lundi, l’agence américaine de cybersécurité CISA a averti que les attaquants pouvaient créer un compte administratif EPMM, ce qui leur permettrait d’apporter d’autres modifications à un système vulnérable.

Dans une déclaration à TechCrunch, le responsable de la sécurité d’Ivanti, Daniel Spicer, a déclaré qu’après avoir pris connaissance de la vulnérabilité, la société « a immédiatement développé et publié un correctif et s’engage activement auprès des clients pour les aider à appliquer la correction », ajoutant que « nous respectons notre engagement à fournir et à maintenir des produits sécurisés, tout en pratiquant des protocoles de divulgation responsables ».

Cependant, Ivanti a initialement gardé les détails de la faille – qui a reçu une note maximale de gravité de vulnérabilité de 10 sur 10 – derrière un paywall, et aurait demandé aux clients potentiellement concernés d’accepter des conditions de non-divulgation avant de partager les détails. À l’heure où nous écrivons ces lignes, l’article de la base de connaissances d’Ivanti sur la vulnérabilité exige toujours que les utilisateurs se connectent avant de pouvoir le consulter.

Dans une brève alerte publique, Ivanti a confirmé qu’elle était « au courant d’un nombre très limité de clients qui ont été touchés ». Interrogée par TechCrunch, la société a refusé de dire exactement combien de clients ont été touchés ou si elle a vu des preuves d’exfiltration de données à la suite des attaques.

Le NSM norvégien a confirmé qu’il avait notifié l’autorité norvégienne de protection des données (DPA) au sujet de l’attaque visant les ministères, suggérant que les pirates pourraient avoir exfiltré des données sensibles des systèmes compromis.

L’ampleur des retombées de ce jour zéro n’est pas encore connue, mais de nombreuses autres organisations pourraient être menacées si les correctifs ne sont pas appliqués. Selon Shodan, un moteur de recherche pour les dispositifs publiquement exposés, il y a plus de 2 900 portails MobileIron exposés à l’Internet, la majorité d’entre eux étant situés aux États-Unis.

Comme l’a noté le chercheur en cybersécurité Kevin Beaumont, la grande majorité des organisations touchées – une liste qui comprend de nombreuses administrations américaines et britanniques – n’ont pas encore reçu de correctifs.