Norveç Ulusal Güvenlik Kurumu (NSM) Salı günü yaptığı açıklamada, Ivanti Endpoint Manager Mobile’ı (EPMM) etkileyen bir sıfır gün güvenlik açığından (CVE-2023-35078) yararlanılarak 12 Norveç bakanlığını etkileyen bir saldırı gerçekleştirildiğini doğruladı.
Saldırılar hakkında bilinenler nelerdir?
Pazartesi günü, Norveç hükümeti saldırının 12 bakanlık tarafından kullanılan BİT platformunda tespit edildiğini, ancak o sırada platformun adını vermediğini söyledi.
Artık Ivanti Endpoint Manager Mobile (eski adıyla MobileIron Core) olduğu onaylanan ICT platformu, Başbakanlık Ofisi, Savunma Bakanlığı, Adalet ve Kamu Güvenliği Bakanlığı ve Dışişleri Bakanlığı hariç tüm Norveç bakanlıkları tarafından kullanılıyor.
“Tedarikçilerimizden birinin yazılımında önceden bilinmeyen bir güvenlik açığı tespit ettik. Bu güvenlik açığı, bilinmeyen bir üçüncü tarafça kullanıldı. Bu güvenlik açığı artık giderilmiştir. Saldırının arkasında kimin olduğu veya saldırının boyutu hakkında bir şey söylemek için henüz çok erken. Norveç Hükümeti Güvenlik ve Hizmet Teşkilatı (DSS) Genel Müdürü Erik Hope, araştırmalarımız ve polis soruşturmalarımızın daha fazla yanıt sunacağını söyledi.
Reuters’e göre saldırı, savunmasız mobil uç nokta yönetim platformundaki “olağandışı” trafik nedeniyle 12 Temmuz’da tespit edildi.
Norveç Veri Koruma Kurumu da saldırı hakkında bilgilendirildiğinden, saldırganların güvenliği ihlal edilmiş platformdaki hassas verilere erişmeyi ve/veya bu verileri çalmayı başarmış olmaları muhtemeldir.
Güvenlik açığı hakkında (CVE-2023-35078)
CVE-2023-35078, belirli yollara kimliği doğrulanmamış uzaktan API erişimine izin veren bir kimlik doğrulama atlama güvenlik açığıdır.
“Bu API yollarına erişimi olan bir saldırgan, savunmasız bir sistemdeki kullanıcılar için adlar, telefon numaraları ve diğer mobil cihaz ayrıntıları gibi kişisel olarak tanımlanabilir bilgilere (PII) erişebilir. Siber Güvenlik ve Altyapı Dairesi (CISA), bir saldırganın, savunmasız bir sistemde daha fazla değişiklik yapabilen bir EPMM yönetici hesabı oluşturmak da dahil olmak üzere başka yapılandırma değişiklikleri de yapabileceğini açıkladı.
Ivanti Pazartesi günü yaptığı açıklamada, güvenilir bir kaynaktan istismarın meydana geldiğine dair bilgi aldıklarını söyledi. “Etkilenen çok sınırlı sayıda müşterinin farkındayız.”
CVE-2023-35078, EPMM’nin tüm desteklenen sürümlerini (v11.10, 11.9 ve 11.8) ve daha eski desteklenmeyen sürümleri etkiler. Güvenlik açığı 11.10.0.2, 11.9.1.1 ve 11.8.1.1 sürümlerinde yamalanmıştır.
Kusurun “mükemmel” bir 10.0 CVSS puanı var. Güvenlik araştırmacısı Kevin Beaumont, kötüye kullanmanın çok kolay olduğunu söylüyor ve yöneticilere mümkün olan en kısa sürede sabit bir sürüme yükseltme yapmalarını öneriyor. “EOL’den çıkamıyorsanız [end-of-life versions]cihazı kapatın.”
IoT arama motoru Shodan, çoğunlukla ABD ve Avrupa’da olmak üzere 2.900’den fazla internet bağlantılı EPMM kullanıcı portalı bulabilir. gölge sunucusu benzer sonuçlar gösterir.
Beaumont, Birleşik Krallık ve ABD hükümet kuruluşları da dahil olmak üzere kuruluşların büyük çoğunluğunun yama uygulamadığını söylüyor. Ayrıca bir bal küpü kurduğunu ve bunun zaten API aracılığıyla araştırıldığını söylüyor.
Güvenlik açığı ifşası
Bir “Ivanti Endpoint Manager” sıfır-gününün vahşi ortamda istismar edildiğine dair söylentiler, Ivanti’nin kullanıcılara kritik güncellemeleri anlatan gönderisini yayınlamasından yarım gün önce internette dolaşmaya başladı.
Müşterilerin, saldırganların yalnızca Norveç hükümetinden daha fazlasını vurup vurmadığını kontrol etmelerine olanak sağlamak için bilinen hiçbir uzlaşma göstergesi kamuya açık olarak paylaşılmadı.
“Bu güvenlik açığı benzersizdi ve ilk kez burada, Norveç’te keşfedildi. Güvenlik açığıyla ilgili bilgileri çok erken yayınlamış olsaydık, bu, Norveç’in başka yerlerinde ve dünyanın geri kalanında kötüye kullanılmasına katkıda bulunabilirdi. Ulusal Güvenlik Teşkilatı Direktörü Sofie Nystrøm bugün yaptığı açıklamada, “Güncelleme şu anda genel kullanıma sunuldu ve ne tür bir güvenlik açığı olduğunu açıklamak ihtiyatlı bir davranış” dedi.
Norveç Ulusal Siber Güvenlik Merkezi, ülkede MobileIron Core’a sahip olduğu bilinen tüm sistem sahiplerini (işletmeleri) yayınlanan güvenlik güncellemesi hakkında bilgilendirdi.