Une vulnérabilité zero-day de contournement d’authentification dans le logiciel Ivanti a été exploitée pour mener une attaque contre l’organisation de sécurité et de service des ministères norvégiens.
L’attaque a affecté les réseaux de communication de 12 ministères norvégiens, selon la déclaration originale, empêchant les employés de ces départements d’accéder aux services mobiles et au courrier électronique.
Le gouvernement a précisé que le bureau du Premier ministre, le ministère de la Défense, le ministère de la Justice et de la Préparation aux situations d’urgence et le ministère des Affaires étrangères n’ont pas été touchés.
Quelle était la faille de sécurité d’Ivanti ?
Selon une déclaration publiée par l’autorité de sécurité norvégienne, la faille est une vulnérabilité d’accès API non authentifié à distance (CVE-2023-35078) dans l’Ivanti Endpoint Manager.
Le bogue permettrait à un attaquant distant d’obtenir des informations, d’ajouter un compte administratif et de modifier la configuration de l’appareil, en raison d’un contournement de l’authentification. La vulnérabilité affecte plusieurs versions du logiciel, y compris la version 11.4 et les versions antérieures ; les versions et les versions à partir de 11.10 sont également à risque.
Un communiqué de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) indique que la vulnérabilité permet un accès non authentifié à des chemins API spécifiques, qu’un cyber-attaquant peut utiliser pour accéder à des informations personnelles identifiables (PII) telles que les noms, les numéros de téléphone et d’autres détails d’appareils mobiles pour les utilisateurs d’un système vulnérable.
Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré dans un billet de blog qu’un attaquant pourrait potentiellement utiliser les chemins API non restreints pour modifier le fichier de configuration d’un serveur, ce qui pourrait entraîner la création d’un compte administratif pour l’interface de gestion du gestionnaire de point final, connu sous le nom d’EPMM (abréviation de Endpoint Manager Mobile), qui peut ensuite être utilisé pour apporter d’autres modifications à un système vulnérable.
Selon un billet d’Ivanti, la société a reçu des informations d’une source crédible indiquant qu’une exploitation a eu lieu. Un blog de suivi d’Ivanti indique qu’après avoir pris connaissance de la vulnérabilité, « nous avons immédiatement mobilisé des ressources pour corriger le problème et un correctif est disponible dès maintenant pour les versions prises en charge du produit.Pour les clients utilisant une version antérieure, nous disposons d’un script RPM pour les aider à remédier au problème ».
La société a également indiqué qu’elle n’avait connaissance que d’un nombre très limité de clients touchés et qu’elle travaillait activement avec ses clients et ses partenaires pour examiner la situation.
Quelle est la réponse du gouvernement ?
Les autorités norvégiennes chargées de la cybersécurité ont indiqué qu’elles avaient entretenu un dialogue permanent avec Ivanti et d’autres partenaires afin de réduire l’impact de la vulnérabilité, et qu’un certain nombre de mesures avaient été prises pour réduire et minimiser le risque que cette vulnérabilité pourrait entraîner en Norvège et dans le monde.
Tous les utilisateurs connus de MobileIron Core en Norvège ont été informés des mises à jour de sécurité disponibles, et le gouvernement recommande que les mises à jour de sécurité soient installées immédiatement.
Sofie Nystrøm, directeur général de l’Autorité norvégienne de sécurité nationale, a déclaré : « Cette vulnérabilité était unique et a été découverte pour la première fois ici en Norvège. Si nous avions publié des informations sur cette vulnérabilité trop tôt, cela aurait pu contribuer à son utilisation abusive ailleurs en Norvège et dans le reste du monde. La mise à jour est maintenant largement disponible et il est prudent d’annoncer de quel type de vulnérabilité il s’agit ».
Passionnée par la culture nordique, par la nature, par l’écriture, voici que j’ai réunie mes passions dans ce site où je vous partage mes expériences et mes connaissances sur la Norvège spécialement. J’y ai vécu 2 ans entre 2015 et 2017, depuis les décors me manque, la culture me manque. Bonne lecture.
