Hackers explotan vulnerabilidad en software de Ivanti para atacar agencias gubernamentales noruegas

Hackers explotan una vulnerabilidad zero-day en el software de gestión de dispositivos móviles de Ivanti

Un grupo de hackers ha aprovechado una vulnerabilidad zero-day en el software de gestión de dispositivos móviles de Ivanti para comprometer a una docena de agencias gubernamentales noruegas. Esta vulnerabilidad, que hasta ahora era desconocida, también podría poner en riesgo a miles de otras organizaciones.

Ataque a las agencias gubernamentales noruegas

La Organización de Seguridad y Servicio Noruega (DSS) informó en un comunicado que un "ataque de datos" había afectado a la plataforma de TI utilizada por 12 ministerios del gobierno noruego. Aunque no se revelaron los nombres de los ministerios afectados, se confirmó que varias oficinas, incluyendo la Oficina del Primer Ministro, el Ministerio de Defensa, el Ministerio de Justicia y el Ministerio de Asuntos Exteriores, no se vieron afectadas.

Explotación de la vulnerabilidad zero-day

Según la Agencia Nacional de Seguridad de Noruega (NSM), los hackers aprovecharon la vulnerabilidad zero-day en el software de Ivanti Endpoint Manager Mobile (EPMM) para comprometer las agencias gubernamentales noruegas. Sofie Nystrøm, directora general de la NSM, explicó que inicialmente no se podía revelar la vulnerabilidad por motivos de seguridad y que fue descubierta por primera vez en Noruega.

Gravedad de la vulnerabilidad y respuesta de Ivanti

La vulnerabilidad, identificada como CVE-2023-35078, es una falla de bypass de autenticación que afecta a todas las versiones admitidas del software EPMM de Ivanti, así como a versiones antiguas y no admitidas. Si se aprovecha, permite que cualquier persona en Internet acceda de forma remota al software sin necesidad de credenciales, lo que les permite acceder a información personal de los usuarios, como nombres, números de teléfono y otros detalles del dispositivo móvil.

Ivanti ha desarrollado y lanzado un parche para solucionar la vulnerabilidad y está trabajando activamente con sus clientes para ayudarles a aplicar la solución. Sin embargo, al principio la compañía mantuvo los detalles de la vulnerabilidad detrás de una barrera de pago y se informa que solicitó a los clientes potencialmente afectados que firmaran un acuerdo de confidencialidad antes de compartir detalles.

Impacto y riesgo para otras organizaciones

Aunque Ivanti ha confirmado que solo un número limitado de clientes se vieron afectados, el alcance total de las consecuencias de esta vulnerabilidad zero-day aún está por verse. Según Shodan, un motor de búsqueda de dispositivos expuestos públicamente, hay más de 2.900 portales de MobileIron expuestos en Internet, la mayoría de los cuales se encuentran en Estados Unidos. Esto significa que muchas más organizaciones podrían estar en riesgo si no aplican los parches necesarios.

Hasta el momento, numerosas organizaciones gubernamentales de Estados Unidos y Reino Unido, entre otras, aún no han aplicado los parches de seguridad necesarios para protegerse contra esta vulnerabilidad.

Conclusiones y advertencia de las autoridades

La NSM de Noruega ha notificado a la Autoridad Noruega de Protección de Datos (DPA) sobre el ataque a los ministerios gubernamentales, lo que sugiere que los hackers podrían haber extraído datos sensibles de los sistemas comprometidos. Es importante que todas las organizaciones afectadas por esta vulnerabilidad tomen las medidas necesarias para proteger sus sistemas y datos.

Las autoridades de ciberseguridad también han advertido a las organizaciones sobre la importancia de aplicar los parches de seguridad disponibles y mantenerse actualizados con las últimas medidas de protección. Además, se recomienda a las organizaciones que revisen su infraestructura de seguridad y realicen auditorías regulares para detectar y corregir posibles vulnerabilidades.