Het Amerikaanse softwarebedrijf Ivanti heeft een kwetsbaarheid ontdekt in haar applicatie Endpoint Manager Mobile. Het gaat om een authentication bypass, een exploit die hackers in staat stelt om het authenticatieproces te omzeilen en zo toegang te krijgen tot vertrouwelijke gegevens. Het bedrijf adviseert klanten om de beschikbare beveiligingsupdate zo snel mogelijk te installeren.
Dat melden Ivanti en het Nationaal Cyber Security Center (NCSC) in een Security Advisory.
Ivanti Endpoint Manager Mobile in een notendop
Ivanti Endpoint Manager Mobile is een applicatie waarmee systeembeheerders alle bedrijfsactiva in kaart kunnen brengen en beheren. Het is een tool om te zien welke systemen actief zijn en welke beveiligingsmaatregelen er zijn genomen om kwaadwillenden buiten de deur te houden.
Als er zwakke plekken in de beveiliging zijn of software niet up-to-date is, zien IT-medewerkers dat in een oogopslag. Endpoint Manager Mobile biedt oplossingen om deze problemen te verhelpen. De tool wordt verder in het bedrijfsleven gebruikt om noodzakelijke investeringen in cybersecurity en cyberweerbaarheid in kaart te brengen.
Meer dan 38.000 klanten wereldwijd maken gebruik van IT-oplossingen van Ivanti, zo zegt het softwarebedrijf op haar website.
Zero-day exploit krijgt CVSS-score van 10.0
Medewerkers van Ivanti hebben een zero-day exploit ontdekt in Endpoint Manager Mobile (EPMM), voorheen ook wel bekend als MobileIron Core. Hiermee is het mogelijk om via Remote Code Execution (RCE) het authenticatieproces te passeren. Hackers en cybercriminelen krijgen dan toegang tot vertrouwelijke bedrijfsgegevens. Deze data kunnen ze bovendien manipuleren, waardoor de integriteit van de informatie in het geding komt. Tot slot is het mogelijk om de controle over het EPMM-systeem over te nemen.
Ivanti geeft aan dat de kwetsbaarheid op kleine schaal is misbruikt door hackers. Hij is aangetroffen in versie 11.4, 11.10, 11.9, 11.8 en oudere versies. De CVE-code is CVE-2023-35078 en heeft een CVSS-score van 10.0, de hoogst haalbare score, wat betekent dat de impact van de exploit ‘kritiek’ is. Om verder misbruik van deze zero-day exploit te voorkomen, adviseert het Amerikaanse softwarebedrijf om de uitgebrachte beveiligingsupdate direct te installeren.
Noorse ministeries aangevallen via kwetsbaarheid in EPMM
Eén van de organisaties waar de zero-day exploit in Ivanti Endpoint Manager Mobile is misbruikt, is bij de Noorse overheid. De regering maakte gisteren bekend dat twaalf ministeries waren getroffen door een cyberaanval. Ambtenaren konden daardoor niet inloggen op hun e-mailadres en andere applicaties.
DSS, de instantie die de IT-diensten verzorgt voor de meeste Noorse ministeries, kondigde maandagavond aan dat de aanvallers misbruik maakten van de kwetsbaarheid in Ivanti Endpoint Mobile Manager. De dienstverlener zegt nauw samen te werken met de ontwikkelaar en andere internationale partners om de gevolgen van de kwetsbaarheid tot een minimum te beperken.
“Deze kwetsbaarheid was uniek en werd hier in Noorwegen voor het eerst ontdekt. Als we de informatie over de kwetsbaarheid te vroeg naar buiten hadden gebracht, had het kunnen bijdragen aan misbruik elders in Noorwegen en de rest van de wereld. De update is nu algemeen beschikbaar en het is gerechtvaardigd om bekend te maken om wat voor soort kwetsbaarheid het gaat”, zo zegt de directeur van de National Security Authority in een verklaring.
