[Brisant] Zero-Day-Lücke ausgenutzt: Hacker stehlen Daten von 12 norwegischen Ministerien

ziesell · 26.07.23, 07:41

Zitat:

Zero-Day-Lücke ausgenutzt: Hacker stehlen Daten von 12 norwegischen Ministerien

Kriminelle haben über eine Zero-Day-Schwachstelle sensible Daten von mehreren Ministerien der norwegischen Regierung abgegriffen.

Hacker haben kürzlich eine Zero-Day-Schwachstelle ausgenutzt, um Daten von einer von zwölf norwegischen Ministerien gemeinsam genutzten Plattform abzugreifen. Wie Norwegens Sicherheits- und Serviceorganisation (DSS) gestern in einer Mitteilung erklärte, seien sofort Sicherheitsmaßnahmen eingeleitet worden, "um die Informationen auf der betroffenen IKT-Plattform zu schützen". Zusammen mit der Nationalen Sicherheitsbehörde (NSM) und anderen Sicherheitsexperten untersuche die Organisation den Vorfall bereits. Eine Arbeitsunterbrechung sei in den betroffenen Ministerien nicht zu erwarten.

Hacker nutzten Schwachstelle im Endpoint Manager Mobile von Ivanti

Wie aus einem Bericht von Bleeping Computer hervorgeht, folgte kurze Zeit später eine Bestätigung seitens der NSM, dass sich die ausgenutzte Zero-Day-Schwachstelle (CVE-2023-3507

auf den Endpoint Manager Mobile (EPMM) (auch bekannt als Mobileiron Core) des Softwareunternehmens Ivanti bezog.

"Diese Sicherheitslücke war einzigartig und wurde zum ersten Mal hier in Norwegen entdeckt. Hätten wir die Informationen über die Sicherheitslücke zu früh veröffentlicht, hätte dies dazu beitragen können, dass sie in Norwegen und im Rest der Welt missbraucht wird", so die Behörde in einer erst heute aktualisierten Mitteilung. Da inzwischen ein Update verfügbar sei, das die ausgenutzte Lücke schließt, sei es jedoch nun "klug, die Art der Schwachstelle bekanntzugeben".

API-Zugriff ohne jegliche Authentifizierung

Die mit einem maximal erreichbaren CVSS von 10 als besonders kritisch eingestufte Sicherheitslücke ermöglicht es Angreifern, auf bestimmte API-Pfade zuzugreifen, ohne sich authentifizieren zu müssen. Darüber sind unter anderem persönliche Informationen wie Namen, Telefonnummern und Details zu mobilen Geräten von Benutzern abrufbar. Wie Ivanti selbst erklärt, betrifft die Schwachstelle alle unterstützten EPMM-Versionen – Version 11.4, 11.10, 11.9 und 11.8. Darüber hinaus seien aber auch ältere Releases gefährdet.

Neben dem reinen Datenabruf über die API erlaube es die Schwachstelle böswilligen Akteuren auch, "begrenzte Änderungen am Server" vorzunehmen. "Es ist wichtig, dass Sie sofort Maßnahmen ergreifen, um sicherzustellen, dass Sie vollständig geschützt sind", warnt das Unternehmen unter Verweis auf die inzwischen bereitgestellten Patches.

Laut Bleeping Computer sind "derzeit mehr als 2.900 Mobileiron-Benutzerportale online, von denen etwa drei Dutzend mit lokalen und bundesstaatlichen US-Behörden verbunden sind". Viele betroffene Systeme seien in den USA stationiert, aber auch in Deutschland, Hongkong und dem Vereinigten Königreich seien einige davon zu finden.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]