[English]In Norwegen wurde die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen, auf der 12 Ministerien arbeiten. Die Angreifer konnten über eine 0-Day-Schwachstelle eindringen und dann wohl Daten abziehen. Die norwegische Sicherheitsorganisation, Norwegian Security and Service Organization (DSS), hat über den Vorfall informiert.
Anzeige
Der Cybervorfall
Ich bin gestern bei den Kollegen von Bleeping Computer auf den Cybervorfall aufmerksam geworden. Das norwegische DSS hat diese Stellungnahme dazu veröffentlicht. Die Fakten in Kurzform:
- Die Sicherheits- und Serviceorganisation der norwegischen Regierung hat einen Datenangriff auf die IKT-Plattform von 12 Ministerien aufgedeckt. Der Fall wird derzeit polizeilich untersucht.
- Die relevanten Behörden und Institutionen wurden über den Vorfall informiert, die Regierungsarbeit läuft weiter. Das DSS hat eine Reihe von Sicherheitsmaßnahmen ergriffen, um die auf der IKT-Plattform gespeicherten Informationen zu schützen, heißt es. Weitere Sicherheitsmaßnahmen könnten erforderlich werden, was laufend geprüft werde.
- DSS hat ein Krisenteam eingerichtet und untersucht und verwaltet den Vorfall mit Unterstützung der norwegischen Sicherheitsbehörde (NSM) und anderer Sicherheitsorganisationen.
- Der Hack konnte durch eine bisher unbekannte Sicherheitslücke in der Software eines Lieferanten entdeckt. Diese Sicherheitslücke wurde von einem unbekannten Akteur ausgenutzt. Diese Sicherheitslücke sei nun geschlossen worden.
In der DSS-Mitteilung heißt es, es sei noch zu früh, um etwas über die Hintermänner und das Ausmaß des Angriffs zu sagen. Die Untersuchungen und die polizeilichen Ermittlungen werden mehr Aufschluss geben können, hofft Erik Hope, Direktor der norwegischen Regierungsorganisation für Sicherheit und Service (DSS).
Angriff über 0-Day in Ivanti EPMM
Die Kollegen von Bleeping Computer sind am Thema dran geblieben – ich habe es nur am Rande verfolgt. In diesem Beitrag melden sie, dass der Angriff über einen 0-Day stattfinden konnte. Die norwegische Sicherheitsbehörde (NSM) habe bestätigt, dass Angreifer eine Zero-Day-Schwachstelle im Ivanti Endpoint Manager Mobile (EPMM, MobileIron Core) ausgenutzt haben, um die von 12 norwegischen Ministerien genutzte Softwareplattform zu hacken und einzudringen.
Laut der NSM war es das erste Mal, dass die Ausnutzung der Schwachstelle beobachtet wurde. "Diese Sicherheitslücke war einzigartig und wurde zum ersten Mal hier in Norwegen entdeckt. Hätten wir die Informationen über die Sicherheitslücke zu früh veröffentlicht, hätte dies dazu beitragen können, dass sie anderswo in Norwegen und dem Rest der Welt missbraucht wird. Das Update ist jetzt öffentlich verfügbar, und es ist klug, die Art der Sicherheitslücke bekannt zu geben", sagt Sofie Nystrøm, Direktorin der norwegischen Sicherheitsbehörde.
Anzeige
Das NCSC weist nun auf eine aktiv ausgenutzte Zero-Day-Schwachstelle, CVE-2023-35078, im Produkt Ivanti Endpoint Manager (EPMM), früher bekannt als MobileIron Core, hin. Die Schwachstelle betrifft eine Reihe von Versionen der Software, und Ivanti hat in diesem Sicherheitshinweis Details genannt.
Bei CVE-2023-35078 handelt es sich um eine Authentifizierungsumgehungsschwachstelle in Ivanti EPMM, die es unbefugten Benutzern ermöglicht den Zugriff auf eingeschränkte Funktionen oder Ressourcen der Anwendung ohne angemessene Authentifizierung zuzugreifen. Wenn diese Schwachstelle ausgenutzt wird, kann ein unbefugter, entfernter (dem Internet zugewandter) Akteur möglicherweise auf die persönlichen Daten der Benutzer zugreifen und begrenzte Änderungen am Server vornehmen.
Diese Sicherheitslücke betrifft alle unterstützten Versionen – Version 11.4, 11.10, 11.9 und 11.8 und hat den CVSS-Index von 10.0 erhalten . Ältere Versionen/Releases sind ebenfalls gefährdet. In der Warnung heißt es, dass Ivanti nur von einer sehr begrenzten Anzahl von Kunden weiß, die davon betroffen sind. Man arbeitet aktiv mit Kunden und Partnern zusammen, um diese Situation zu untersuchen. Da die Norweger die Schwachstelle geschlossen haben, scheint es Mitigationen oder Patches zu geben.
Vianti hat im Knowledge Base-Artkel wohl Hinweise gegeben – dieser ist aber nur nach Anmeldung für Kunden zugänglich. Die Kollegen von Bleeping Computer schreiben, dass laut der Suchmaschine Shodan.io mehr als 2900 Instanzen der Ivanti-Plattform öffentlich per Internet erreichbar seien. Etwa drei Dutzend Portale gehören lokalen oder staatlichen US-Behörden, einige befinden sich auch in Deutschland, Großbritannien und Hongkong.
Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)
Anzeige
Das sieht nach einer ziemlich großen Patchrunde aus. Das System ist nicht gerade eine Seltenheit in Netzen, die sicher mobil arbeiten wollen…
Oh Schreck, es ist nicht Microsoft involviert! Und schon gibt es kein Kommentare aka Prediger ;-) Aber OK eine Gemeinsamkeit ist ja da, Cloud Lösung (Mobile Iron) als "Einfallstor". Mal schauen wann es Intune erwischt.
Ich lasse mich gerne eines Besseren belehren, aber ist das wirklich eine Cloud-Lösung? Nach dem Sicherheitshinweis von Ivanti hört sich das eher nach einer On-Prem Software an, die (zumindest hier) auch aus dem Internet erreichbar ist, damit die Endgeräte auch außerhalb des Firmennetzes mit dem System kommunizieren können. (Ob das für die Funktion zwingend erforderlich ist kann ich nicht einschätzen, da wir diese Lösung nicht einsetzen).
Das wäre dann eher das Gegenteil von Cloud-Lösung, sondern "nur" eine Sicherheitslücke in einer Software, die aus dem Internet erreichbar ist. Schlimm genug, hat aber mMn wenig mit Cloud zu tun.
"auch außerhalb des Firmennetzes mit dem System kommunizieren können"
Wenn das "System" ausserhalb des Firmennetzes liegt nennt man das inzwischen gemeinhin -leider- (Public) "Cloud" auch wenn nur ein simpler Server dahinter steckt.
Falls es doch On-Premise ist haben sie natürlich alle Vorteile von On-Premise liegen gelassen die da lauten – "miete nichts was du täglich benutzt und lass dich nicht tracken" Wenn die da offen erreichbar sind heisst das auch das der Softwareanbieter Tracking Daten nach Hause schicken kann – da sollten bei einer Behörde doch irgendwie die Alarmglocken angehen. Die On Premise Software hätte sich in dem Fall wie eine "CLOUD" Lösung verhalten und dann passiert sowas halt. – kein Mitleid
Das System läuft On-Premise und ist (hauptsächlich) zur Verwaltung von Mobiltelefonen gedacht. Dazu ist es in der Regel auch notwendig, dass das Ding aus dem Internet erreichbar ist. Oder wie sonst sollen MOBILtelefone effizient verwaltet werden können?!
:-D YMMD
Hat es doch schon über das Azure Desaster,
Was lernen wir daraus? Nichts ist sicher- pups egal von wem und was. Glücklich ist, der Glück hatte.
Das Ivanti Endpoint Manager (EPMM), früher bekannt als Mobile Iron Core, ist eine On-Premise Lösung, welche jedoch auch über eine Sentry innerhalb der Core, Cloud gestütze Services anbieten kann.
Diese gibt es sowohl als Blech und als (Virtual) Appliance.
Bis zum 24.07.2013 – 21:57 gab es dazu noch nicht einmal einen Eintrag bei Ivanti im https://www.ivanti.com/blog/topics/security-advisory, noch war eine neue Release Version unter https://www.ivanti.com/support/product-documentation zu finden.
Auch die Informationen in Form von KB Artikeln (falls das System nicht mehr unterstützt wird – kann ein RPM Paket die Lücke abschwächen) sind hinter einen (kostenfreien) Ivanti Community Login versteckt. Siehe dazu den Abschnitt bei heise "Seltsame Informationspolitik" https://www.heise.de/news/Ivanti-schliesst-Zero-Day-Luecke-in-MobileIron-9225583.html
Wir selbst wurden von einen Ivanti Kollegen indirekt (über Umwege) am 24.07.2013 informiert.
Ansonsten spielt Ivanti zu CVEs regulär Mails an die Mail Adresse des Community Accounts aus / oder über den Blog (bin mir nicht mehr sicher) – was hier leider nicht passiert ist!
Im System Manager, gab es immerhin eine neues Update / abgesicherte Version EPMM 11.10.0.2 Build 6, welche die Sicherheitslücke behebt.
Das macht bisher noch keine Probleme bei uns (sollten aber auch keine Aushängeschild sein, wir nutzen das System eher rudimentär für MDM / Policies, Configurations, Profile etc.).
Man sollte auch danach noch kurz prüfen, ob neue Admin Accounts erstellt worden sind (durch unbefugte Dritte), um im Zweifel diese wieder zu entfernen.
Auch in den Logs sollte sich dazu etwas finden lassen (Front-End und im System Manager).
Ansonsten bietet Ivanti wohl noch für reguläre Kunden ein Script / Tool an (nur mit Kunden Login), welches auf verdächtige Aktivitäten in diesem Zusammenhang prüfen kann.
Am 12.07.2023 gab es übrigens die CVE-2023-25690, welche auch dafür gesorgt haben sollte, dass man gut zu tuen hatte mit Upgrades.
Sonst fallen die Upgrades eher 2x im Jahr an (Client Updates bezogen wie z.B. neue iOS / Android Release Version wird veröffentlicht).
Also, bei uns kam die Benachrichtigungsmail am 24.07.2023 um 01:15 Uhr rein.
Die neue Version wurde anscheinend auch mit der heißen Nadel gestrickt und umgehend verteilt, deshalb war die wohl noch nirgends dokumentiert. Wenigstens hat der System Manager sie problemlos gefunden bei der Update-Suche und heruntergeladen.
Das Script/Tool für reguläre Kunden gibt es übrigens nur über eine Anfrage beim Support und erfordert die Einwilligung zu einem NDA…
Also wir bekamen eine Mail Info von Ivanti am 24.07 – ca. 1:00 früh.
„ [Act Immediately] Zero-day vulnerability in your Ivanti Endpoint Manager Mobile solution
Wir konnten auch über einen Link in der Ivanti Mail nach Login direkt auf den Artikel vormittags zugreifen. (Erstellt wurde dieser am 23.07 spät nachts)
Sehe ich es richtig, das er EPMM nicht im „normalen" Endpoint Manager enthalten ist ?
Korrekt, der Endpoint Manager hat mit dem EPMM nichts zu tun. Das erste ist Verwaltung von PCs/Notebooks inkl. Softwareverteilung, der EPMM ist Mobile Device Management für Smartphones/Tablets. Die beiden können miteinander interagieren, sind aber getrennte Produkte, die auch separat zu lizenzieren sind.
Pünktlich zum Wochenende…
Ivanti bringt Patch zum Patch
EPMM 11.10.0.3
If you have already remediated CVE-2023-35078 via the patch issued on 23 July 2023 or RPM script:
Your risk of exploitation from CVE-2023-35081 is lowered. However, we highly recommend that you apply the new patch to ensure your environment is protected.