Zero-Day-Lücke ausgenutzt: Hacker stehlen Daten von 12 norwegischen Ministerien
Hacker haben kürzlich eine Zero-Day-Schwachstelle ausgenutzt, um Daten von einer von zwölf norwegischen Ministerien gemeinsam genutzten Plattform abzugreifen. Wie Norwegens Sicherheits- und Serviceorganisation (DSS) gestern in einer Mitteilung(öffnet im neuen Fenster) erklärte, seien sofort Sicherheitsmaßnahmen eingeleitet worden, "um die Informationen auf der betroffenen IKT-Plattform zu schützen." Zusammen mit der Nationalen Sicherheitsbehörde (NSM) und anderen Sicherheitsexperten untersuche die Organisation den Vorfall bereits. Eine Arbeitsunterbrechung sei in den betroffenen Ministerien nicht zu erwarten.
Hacker nutzten Schwachstelle im Endpoint Manager Mobile von Ivanti
Wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, folgte kurze Zeit später eine Bestätigung seitens der NSM, dass sich die ausgenutzte Zero-Day-Schwachstelle (CVE-2023-35078) auf den Endpoint Manager Mobile (EPMM) (auch bekannt als Mobileiron Core) des Softwareunternehmens Ivanti bezog.
"Diese Sicherheitslücke war einzigartig und wurde zum ersten Mal hier in Norwegen entdeckt. Hätten wir die Informationen über die Sicherheitslücke zu früh veröffentlicht, hätte dies dazu beitragen können, dass sie in Norwegen und im Rest der Welt missbraucht wird" , so die Behörde in einer erst heute aktualisierten Mitteilung(öffnet im neuen Fenster) . Da inzwischen ein Update verfügbar sei, das die ausgenutzte Lücke schließt, sei es jedoch nun "klug, die Art der Schwachstelle bekanntzugeben" .
API-Zugriff ohne jegliche Authentifizierung
Die mit einem maximal erreichbaren CVSS von 10 als besonders kritisch eingestufte Sicherheitslücke ermöglicht es Angreifern, auf bestimmte API-Pfade zuzugreifen, ohne sich authentifizieren zu müssen. Darüber sind unter anderem persönliche Informationen wie Namen, Telefonnummern und Details zu mobilen Geräten von Benutzern abrufbar. Wie Ivanti selbst erklärt(öffnet im neuen Fenster) , betrifft die Schwachstelle alle unterstützten EPMM-Versionen - Version 11.4, 11.10, 11.9 und 11.8. Darüber hinaus seien aber auch ältere Releases gefährdet.
Neben dem reinen Datenabruf über die API erlaube es die Schwachstelle böswilligen Akteuren auch, "begrenzte Änderungen am Server" vorzunehmen. "Es ist wichtig, dass Sie sofort Maßnahmen ergreifen, um sicherzustellen, dass Sie vollständig geschützt sind" , warnt das Unternehmen unter Verweis auf die inzwischen bereitgestellten Patches.
Laut Bleeping Computer(öffnet im neuen Fenster) sind "derzeit mehr als 2.900 Mobileiron-Benutzerportale online, von denen etwa drei Dutzend mit lokalen und bundesstaatlichen US-Behörden verbunden sind." Viele betroffene Systeme seien in den USA stationiert, aber auch in Deutschland, Hongkong und dem Vereinigten Königreich seien einige davon zu finden.