In Norwegen wurde die IKT-Plattform (Informations- und Kommunikationssystem) angegriffen, auf der 12 Ministerien arbeiten. Bisher war bekannt, dass die Angreifer über eine 0-Day-Schwachstelle des Ivanti EPMM eindringen konnten. Zum 29. Juli 2023 hat Ivanti eine Sicherheitswarnung herausgegeben, dass beim Angriff eine zweite Schwachstelle CVE-2023-35081 ausgenutzt wurde.
Anzeige
Der Hack in Norwegen und CVE-2023-35078
Kurzer Rückblick zum Thema. Im Blog-Beitrag Norwegens Regierung über Ivanti-Zero-Day gehackt hatte ich vor einigen Tagen über einen erfolgreichen Cyberangriff auf eine IKT-Plattform (Informations- und Kommunikationssystem) der norwegischen Regierung berichtet, von der 12 Ministerien betroffen waren. Die Angreifer konnten über die 0-Day-Schwachstelle, CVE-2023-35078, im Produkt Ivanti Endpoint Manager (EPMM), früher bekannt als MobileIron Core, in das System eindringen und dann Daten abziehen.
Es handelt sich um eine Remote Unauthenticated API-Access Schwachstelle, d.h. Angreifer konnten über die API ohne weitere Authentifizierung zugreifen. Die Schwachstelle betrifft die Ivanti Endpoint Manager Mobile (EPMM) Versionen 11.4 Releases 11.10, 11.9 und 11 – sowie auch die vorherigen Versionen der Software. Die Schwachstelle besitzt einen CVSS-Score von 10.0 (höchster möglicher Wert) und wurde von Ivanti zum 24. Juli 2023 Update geschlossen. Details finden sich in diesem Sicherheitshinweis vom 24.7.
Neue Schwachstelle CVE-2023-35081
Die Analyse des Hacks der IKT-Plattform der norwegischen Regierung offenbarte nun noch eine zweite Schwachstelle CVE-2023-35081, die zum 28. Juli 2023 erstmals in diesem Ivanti-Sicherheitshinweis aufgegriffen wurde. Bei CVE-2023-35081 handelt es sich um eine Path-Traversal-Schwachstelle entdeckt, die es einem Angreifer ermöglicht, beliebige Dateien auf die Appliance zu schreiben. Der Angreifer muss bereits als Administrator authentifiziert sein, kann dann aber beliebige Dateischreiboperationen auf dem EPMM-Server durchführen.
Laut Ivanti kann diese Schwachstelle (CVSS-Score von 7.2) in Verbindung mit CVE-2023-35078 genutzt werden, um die Administrator-Authentifizierung und ACL-Beschränkungen (falls zutreffend) zu umgehen. Bei erfolgreicher Ausnutzung können bösartige Dateien auf die Appliance geschrieben werden, was es einem böswilligen Akteur letztendlich ermöglicht, Betriebssystembefehle auf der Appliance als Tomcat-Benutzer auszuführen. Genau dies soll wohl laut Ivanti-Sicherheitshinweis bei dem Hack in Norwegen genutzt worden sein.
Betroffen ist der Ivanti Endpoint Manager Mobile (EPMM) sind die aktuell unterstützten Versionen 11.10, 11.9 und 11.8, sowie die älteren, bereits aus dem Support gefallenen Versionen. Ivanti schreibt, dass diese Sicherheitslücke sich von CVE-2023-35078 unterscheidet. Inzwischen steht auch für diese Schwachstelle ein Patch zum Schließen bereit. Wer also in diesem Bereich für die Administration des Ivanti Endpoint Manager (EPMM) verantwortlich ist, muss umgehend handeln, wenn auch, laut Hersteller, nur eine begrenzte Anzahl von Kunden betroffen ist. (via)
Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)
2015
Spiegel Online-Artikel: Diensttelefone des Digitalministeriums waren offenbar angreifbar
Nett, oder? Ein Digitalministerium mit viel Kompetenz (alle gerade im Urlaub).
Danke, ich habe es mal ein wenig aufbereitet und die aktuelle Sachlage beschrieben – der obige Fall ist die "Spitze des Eisbergs"
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar