Des pirates informatiques ont exploité une faille de type « zero-day » dans le logiciel de gestion des terminaux mobiles d’Ivanti sans la détecter pendant au moins trois mois, ont averti les agences de cybersécurité américaine et norvégienne.
Il a été confirmé la semaine dernière que des pirates avaient compromis plusieurs agences gouvernementales norvégiennes en exploitant une vulnérabilité non découverte auparavant dans Ivanti Endpoint Manager Mobile (EPMM ; anciennement MobileIron Core), un logiciel qui est également utilisé par des départements gouvernementaux à travers les États-Unis et le Royaume-Uni.
Bien que l’impact des cyberattaques sur les ministères norvégiens reste inconnu, l’exploitation réussie de la faille – répertoriée sous le nom de CVE-2023-35078 – permet un accès non authentifié aux informations personnelles des utilisateurs et la possibilité d’apporter des modifications au serveur vulnérable. La semaine dernière, la CISA a averti que la faille pouvait être exploitée pour créer un compte administrateur sur un serveur vulnérable, ce qui permettrait de modifier davantage la configuration du serveur.
La CISA, ainsi que le Centre national norvégien de cybersécurité (NCSC-NO), ont publié mardi un avis avertissant que les attaquants abusent de la faille zero-day depuis le mois d’avril, avant que l’exploitation ne soit découverte pour la première fois.
L’avis explique que des acteurs anonymes soutenus par le gouvernement « ont utilisé des routeurs SOHO (small office/home office) compromis, y compris des routeurs ASUS, » comme proxies pour dissimuler la source de leurs attaques. Il prévient également que les pirates exploitent une seconde vulnérabilité, répertoriée sous le nom de CVE-2023-35081, qui réduit la complexité de l’exécution des attaques. Dans un avis publié vendredi, Ivanti a averti que le nouveau bogue d’écriture arbitraire de fichier à distance pourrait permettre à un acteur de la menace de créer, modifier ou supprimer à distance des fichiers dans le serveur Ivanti EPMM, et a déclaré qu’il peut être utilisé en conjonction avec la faille précédente pour contourner les restrictions d’authentification de l’administrateur.
Ivanti a publié un correctif pour le premier jour zéro le 23 juillet et un autre pour la vulnérabilité le 28 juillet. La CISA a ajouté les deux failles à son catalogue de vulnérabilités exploitées connues, donnant aux agences civiles fédérales jusqu’au 21 août pour appliquer les correctifs.
La CISA et le NCSC-NO ont également demandé aux agences d’utiliser l’avis pour rechercher des compromissions potentielles dans leurs systèmes et de signaler immédiatement tout problème.
La CISA a noté que des acteurs soutenus par le gouvernement étaient connus pour exploiter les vulnérabilités précédentes de MobileIron et qu’ils avaient précédemment lié les intrusions à des pirates informatiques parrainés par l’État chinois. « Par conséquent, la CISA et le NCSC-NO s’inquiètent de la possibilité d’une exploitation généralisée dans les réseaux du gouvernement et du secteur privé », indique l’avis.
Daniel Spicer, responsable de la sécurité chez Ivanti, a refusé de commenter l’attribution ou la motivation. « Ce que nous pouvons dire, c’est que les acteurs de la menace continuent d’affiner leurs tactiques, en équilibrant la persistance et la patience avec l’utilisation sophistiquée d’exploits, d’outils et de technologies émergentes », a déclaré Spicer.
Dans un article de la base de connaissances désormais public, l’entreprise indique que « nous n’avons connaissance que d’un nombre très limité de clients qui ont été touchés », ce qui suggère que la liste des victimes s’étend au-delà du gouvernement norvégien.
Selon Shodan, un moteur de recherche pour les dispositifs publiquement exposés, il y a encore plus de 2 200 portails MobileIron exposés à l’Internet, la majorité d’entre eux étant situés aux États-Unis.
Mise à jour avec un commentaire d’Ivanti.
