{"id":284181,"date":"2023-07-25T10:21:55","date_gmt":"2023-07-25T08:21:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284181"},"modified":"2023-08-03T13:59:54","modified_gmt":"2023-08-03T11:59:54","slug":"norwegens-regierung-ber-ivanti-zero-day-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/25\/norwegens-regierung-ber-ivanti-zero-day-gehackt\/","title":{"rendered":"Norwegens Regierung &uuml;ber Ivanti-Zero-Day gehackt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/07\/27\/patch-your-ivanti-epmm-norwegian-government-hacked-via-0-day\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Norwegen wurde die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen, auf der 12 Ministerien arbeiten. Die Angreifer konnten \u00fcber eine 0-Day-Schwachstelle eindringen und dann wohl Daten abziehen. Die norwegische Sicherheitsorganisation, Norwegian Security and Service Organization (DSS), hat \u00fcber den Vorfall informiert.<\/p>\n<p><!--more--><\/p>\n<h2>Der Cybervorfall<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/601554a951474351a299123b3900b782\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin gestern bei den Kollegen von Bleeping Computer auf den Cybervorfall <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/norwegian-government-it-systems-hacked-using-zero-day-flaw\/\" target=\"_blank\" rel=\"noopener\">aufmerksam<\/a> geworden. Das norwegische DSS hat <a href=\"https:\/\/www.dss.dep.no\/aktuelle-saker\/departementer-utsatt-for-dataangrep\/\" target=\"_blank\" rel=\"noopener\">diese Stellungnahme<\/a> dazu ver\u00f6ffentlicht. Die Fakten in Kurzform:<\/p>\n<ul>\n<li>Die Sicherheits- und Serviceorganisation der norwegischen Regierung hat einen Datenangriff auf die IKT-Plattform von 12 Ministerien aufgedeckt. Der Fall wird derzeit polizeilich untersucht.<\/li>\n<li>Die relevanten Beh\u00f6rden und Institutionen wurden \u00fcber den Vorfall informiert, die Regierungsarbeit l\u00e4uft weiter. Das DSS hat eine Reihe von Sicherheitsma\u00dfnahmen ergriffen, um die auf der IKT-Plattform gespeicherten Informationen zu sch\u00fctzen, hei\u00dft es. Weitere Sicherheitsma\u00dfnahmen k\u00f6nnten erforderlich werden, was laufend gepr\u00fcft werde.<\/li>\n<li>DSS hat ein Krisenteam eingerichtet und untersucht und verwaltet den Vorfall mit Unterst\u00fctzung der norwegischen Sicherheitsbeh\u00f6rde (NSM) und anderer Sicherheitsorganisationen.<\/li>\n<li>Der Hack konnte durch eine\u00a0 bisher unbekannte Sicherheitsl\u00fccke in der Software eines Lieferanten entdeckt. Diese Sicherheitsl\u00fccke wurde von einem unbekannten Akteur ausgenutzt. Diese Sicherheitsl\u00fccke sei nun geschlossen worden.<\/li>\n<\/ul>\n<p>In der DSS-Mitteilung hei\u00dft es, es sei noch zu fr\u00fch, um etwas \u00fcber die Hinterm\u00e4nner und das Ausma\u00df des Angriffs zu sagen. Die Untersuchungen und die polizeilichen Ermittlungen werden mehr Aufschluss geben k\u00f6nnen, hofft Erik Hope, Direktor der norwegischen Regierungsorganisation f\u00fcr Sicherheit und Service (DSS).<\/p>\n<h2>Angriff \u00fcber 0-Day in Ivanti EPMM<\/h2>\n<p>Die Kollegen von Bleeping Computer sind am Thema dran geblieben &#8211; ich habe es nur am Rande verfolgt. In <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/norway-says-ivanti-zero-day-was-used-to-hack-govt-it-systems\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> melden sie, dass der Angriff \u00fcber einen 0-Day stattfinden konnte. Die norwegische Sicherheitsbeh\u00f6rde (NSM) habe best\u00e4tigt, dass Angreifer eine Zero-Day-Schwachstelle im Ivanti Endpoint Manager Mobile (EPMM, MobileIron Core) ausgenutzt haben, um die von 12 norwegischen Ministerien genutzte Softwareplattform zu hacken und einzudringen.<\/p>\n<p>Laut <a href=\"https:\/\/nsm.no\/aktuelt\/nulldagssarbarhet-i-ivanti-endpoint-manager-mobileiron-core\" target=\"_blank\" rel=\"noopener\">der NSM<\/a> war es das erste Mal, dass die Ausnutzung der Schwachstelle beobachtet wurde. \"Diese Sicherheitsl\u00fccke war einzigartig und wurde zum ersten Mal hier in Norwegen entdeckt. H\u00e4tten wir die Informationen \u00fcber die Sicherheitsl\u00fccke zu fr\u00fch ver\u00f6ffentlicht, h\u00e4tte dies dazu beitragen k\u00f6nnen, dass sie anderswo in Norwegen und dem Rest der Welt missbraucht wird. Das Update ist jetzt \u00f6ffentlich verf\u00fcgbar, und es ist klug, die Art der Sicherheitsl\u00fccke bekannt zu geben\", sagt Sofie Nystr\u00f8m, Direktorin der norwegischen Sicherheitsbeh\u00f6rde.<\/p>\n<p>Das NCSC weist nun auf eine aktiv ausgenutzte Zero-Day-Schwachstelle, <a href=\"https:\/\/forums.ivanti.com\/s\/article\/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US\" target=\"_blank\" rel=\"noopener\">CVE-2023-35078<\/a>, im Produkt Ivanti Endpoint Manager (EPMM), fr\u00fcher bekannt als MobileIron Core, hin. Die Schwachstelle betrifft eine Reihe von Versionen der Software, und Ivanti hat in <a href=\"https:\/\/forums.ivanti.com\/s\/article\/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US\" target=\"_blank\" rel=\"noopener\">diesem Sicherheitshinweis<\/a> Details genannt.<\/p>\n<p>Bei CVE-2023-35078 handelt es sich um eine Authentifizierungsumgehungsschwachstelle in Ivanti EPMM, die es unbefugten Benutzern erm\u00f6glicht den Zugriff auf eingeschr\u00e4nkte Funktionen oder Ressourcen der Anwendung ohne angemessene Authentifizierung zuzugreifen. Wenn diese Schwachstelle ausgenutzt wird, kann ein unbefugter, entfernter (dem Internet zugewandter) Akteur m\u00f6glicherweise auf die pers\u00f6nlichen Daten der Benutzer zugreifen und begrenzte \u00c4nderungen am Server vornehmen.<\/p>\n<p>Diese Sicherheitsl\u00fccke betrifft alle unterst\u00fctzten Versionen &#8211; Version 11.4, 11.10, 11.9 und 11.8 und hat den CVSS-Index von 10.0 erhalten . \u00c4ltere Versionen\/Releases sind ebenfalls gef\u00e4hrdet. In der Warnung hei\u00dft es, dass Ivanti nur von einer sehr begrenzten Anzahl von Kunden wei\u00df, die davon betroffen sind. Man arbeitet aktiv mit Kunden und Partnern zusammen, um diese Situation zu untersuchen.\u00a0 Da die Norweger die Schwachstelle geschlossen haben, scheint es Mitigationen oder Patches zu geben.<\/p>\n<p>Vianti hat im <a href=\"https:\/\/forums.ivanti.com\/s\/article\/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US\" target=\"_blank\" rel=\"noopener\">Knowledge Base-Artkel<\/a> wohl Hinweise gegeben &#8211; dieser ist aber nur nach Anmeldung f\u00fcr Kunden zug\u00e4nglich. Die Kollegen von Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/norway-says-ivanti-zero-day-was-used-to-hack-govt-it-systems\/\" target=\"_blank\" rel=\"noopener\">schreiben<\/a>, dass laut der Suchmaschine Shodan.io mehr als 2900 Instanzen der Ivanti-Plattform \u00f6ffentlich per Internet erreichbar seien. Etwa drei Dutzend Portale geh\u00f6ren lokalen oder staatlichen US-Beh\u00f6rden, einige befinden sich auch in Deutschland, Gro\u00dfbritannien und Hongkong.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/25\/norwegens-regierung-ber-ivanti-zero-day-gehackt\/\">Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/31\/ivanti-besttigt-2-schwachstelle-cve-2023-35081-bei-hack-der-norwegischen-regierung\/\">Ivanti best\u00e4tigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/diensttelefone-des-digitalministeriums-ber-ivanti-schwachstellen-angreifbar\/\">Diensttelefone des Digitalministeriums \u00fcber Ivanti-Schwachstellen angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/schwachstelle-cve-2023-35082-in-ivanti-mobileiron-core-bis-version-11-2\/\">Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Norwegen wurde die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen, auf der 12 Ministerien arbeiten. Die Angreifer konnten \u00fcber eine 0-Day-Schwachstelle eindringen und dann wohl Daten abziehen. Die norwegische Sicherheitsorganisation, Norwegian Security and Service Organization (DSS), hat \u00fcber den Vorfall informiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284181","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284181"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284181\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}