La “falla” va attribuita a una vulnerabilità zero-day in Ivanti Endpoint Manager.
I sistemi IT del Governo norvegese sono stati colpiti da hacker ostili, che hanno potuto violarli sfruttando una vulnerabilità zero-day in Ivanti Endpoint Manager. L’attacco è stato ufficializzato lunedì, quando le autorità hanno comunicato che l’Organizzazione per la sicurezza e i servizi dei ministeri norvegesi (il DSS) aveva scoperto possibili violazioni alle piattaforme di 12 ministeri.
“E’ stata identificata una vulnerabilità nella piattaforma di uno dei nostri fornitori. Tale vulnerabilità è stata ora risolta,” ha dichiarato Erik Hope, capo dell’agenzia governativa responsabile di fornire servizi ai ministeri, durante una conferenza stampa.
L’ufficio del Primo Ministro, così come i ministeri degli Esteri, della Difesa e della Giustizia, non sono stati colpiti perché utilizzano una piattaforma IT diversa, ha dichiarato Hope.
L’attacco è stato identificato a causa di un traffico “insolito” sulla piattaforma del fornitore, ha dichiarato Hope, rifiutandosi di fornire dettagli specifici. È stato scoperto il 12 luglio ed è al momento oggetto di indagine da parte della polizia.
Inizialmente non sono state date molte informazioni sulla dinamica dell’attacco. Esponenti governativi hanno solo indicato che erano state messe in atto una serie di misure per gestire l’attacco e che la situazione era monitorata da vicino. Il DSS aveva istituito un team di crisi e stava indagando e gestendo l’incidente con l’assistenza dell’Autorità di sicurezza nazionale norvegese (NSM) e di altre organizzazioni di sicurezza.
Il DSS ha comunque avviato una serie di misure di sicurezza. Ad esempio, i dipendenti dei 12 ministeri non avevano più accesso ai servizi condivisi del DSS via smartphone, inclusa la posta elettronica. Potevano comunque continuare a lavorare normalmente sui loro computer. Questa misura di difesa lasciava pensare che fosse coinvolta qualche piattaforma di endpoint management, e infatti oggi è stato dichiarato che la “falla” va attribuita a una vulnerabilità zero-day in Ivanti Endpoint Manager.
Le autorità norvegesi hanno comunque collaborato con Ivanti e la falla è stata chiusa con un aggiornamento software, che è liberamente disponibile. Questo permette di rendere pubblica la vulnerabilità, che è stata catalogata come CVE-2023-35078. La CVE riguarda diverse versioni di Ivanti Endpoint Manager (EPMM), noto anche come MobileIron Core.
Il numero di attacchi informatici è triplicato tra il 2019 e il 2021, secondo quanto riportato dall’agenzia di sicurezza informatica del paese nel suo ultimo rapporto di valutazione dei rischi a febbraio. Nel 2022, il numero di gravi incidenti è rimasto allo stesso livello di quello del 2021.