Norveç Bakanlıkları Güvenlik ve Hizmet Teşkilatı’na saldırı gerçekleştirmek için Ivanti yazılımındaki sıfır günlük kimlik doğrulama atlama güvenlik açığından yararlanıldı.
Orijinal açıklamaya göre saldırı, Norveç hükümetinin 12 bakanlığının iletişim ağlarını etkiledi ve bu departmanlardaki çalışanların mobil hizmetlere ve e-postaya erişmesini engelledi.
Hükümet, Başbakanlık ofisi, Savunma Bakanlığı, Adalet ve Acil Durum Hazırlık Bakanlığı ve Dışişleri Bakanlığı’nın etkilenmediğini kaydetti.
Ivanti Güvenlik Açığı Neydi?
Norveç Güvenlik Kurumu tarafından yayınlanan bir açıklamaya göre kusur, Ivanti Endpoint Manager’da kimliği doğrulanmamış uzaktan API erişim güvenlik açığıdır (CVE-2023-35078).
Hata, uzaktaki bir saldırganın kimlik doğrulama atlaması nedeniyle bilgi almasına, bir yönetici hesabı eklemesine ve cihazın yapılandırmasını değiştirmesine olanak tanır. Güvenlik açığı, Sürüm 11.4 ve daha eski sürümler dahil olmak üzere çeşitli yazılım sürümlerini etkiler; 11.10’dan sonraki sürümler ve sürümler de risk altındadır.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) yapılan açıklamada, güvenlik açığının, bir siber saldırganın savunmasız bir sistemdeki kullanıcılar için adlar, telefon numaraları ve diğer mobil cihaz ayrıntıları gibi kişisel olarak tanımlanabilir bilgilere (PII) erişmek için kullanabileceği belirli API yollarına kimliği doğrulanmamış erişime izin verdiği belirtildi.
Tenable kıdemli araştırma mühendisi Satnam Narang, bir blog gönderisinde, bir saldırganın potansiyel olarak sınırsız API yollarını bir sunucunun yapılandırma dosyasını değiştirmek için kullanabileceğini ve bunun da uç nokta yöneticisinin yönetim arabirimi için EPMM (Endpoint Manager Mobile’ın kısaltması) olarak bilinen ve daha sonra savunmasız bir sistemde daha fazla değişiklik yapmak için kullanılabilecek bir yönetici hesabı oluşturulmasına yol açabileceğini söyledi.
Ivanti tarafından yapılan bir gönderiye göre, şirket güvenilir bir kaynaktan istismarın gerçekleştiğini gösteren bilgi aldı. Ivanti tarafından yazılan bir takip blogu, güvenlik açığının öğrenilmesi üzerine, “sorunu çözmek için kaynakları hemen seferber ettik ve şu anda ürünün desteklenen sürümleri için bir yamaya sahibiz. Daha eski bir sürüm kullanan müşteriler için, düzeltmeye yardımcı olacak bir RPM komut dosyamız var.”
Şirket ayrıca etkilenen çok sınırlı sayıda müşterinin farkında olduğunu ve durumu araştırmak için müşteriler ve ortaklarla aktif olarak çalıştığını söyledi.
Hükümetin Tepkisi Nedir?
Norveç ulusal siber güvenlik yetkilileri, güvenlik açığının etkisini kapatmaya yardımcı olmak için Ivanti ve diğer ortaklarla devam eden bir diyalog içinde olduklarını ve güvenlik açığının hem Norveç’te hem de küresel olarak neden olabileceği riski azaltmak ve en aza indirmek için bir dizi önlem alındığını söyledi.
Norveç’teki bilinen tüm MobileIron Core kullanıcıları, mevcut güvenlik güncellemelerinden haberdar edildi ve hükümet, güvenlik güncellemelerinin hemen yüklenmesini tavsiye ediyor.
Norveç Ulusal Güvenlik Kurumu genel müdürü Sofie Nystrøm, “Bu güvenlik açığı benzersizdi ve ilk kez burada, Norveç’te keşfedildi. Güvenlik açığı hakkında çok erken bilgi yayınlamış olsaydık, bu güvenlik açığının Norveç’te ve dünyanın geri kalanında kötüye kullanılmasına katkıda bulunabilirdi. Güncelleme şu anda geniş çapta mevcut ve ne tür bir güvenlik açığı olduğunu duyurmak ihtiyatlı bir davranış.”