Empresas

Ivanti se apresura a actualizar el parche de día cero utilizado para violar al gobierno noruego

José Francisco Gutiérrez

Los piratas informáticos explotaron una falla de día cero en el software de administración de dispositivos móviles de Ivanti para comprometer a una docena de agencias gubernamentales noruegas, y miles de otras organizaciones también podrían estar en riesgo.

La Organización Noruega de Seguridad y Servicios (DSS) dijo en un comunicado de prensa el lunes que un «ataque de datos» había golpeado la plataforma de TI utilizada por 12 ministerios. El gobierno noruego no nombró los ministerios afectados, pero el DSS confirmó que varias oficinas no se vieron afectadas, incluida la Oficina del Primer Ministro de Noruega, el Ministerio de Defensa, el Ministerio de Justicia y el Ministerio de Relaciones Exteriores.

El DSS dijo que el ataque fue el resultado de una «vulnerabilidad previamente desconocida en el software de uno de nuestros proveedores», pero no dio más detalles. Sin embargo, la Autoridad de Seguridad Nacional de Noruega (NSM) confirmado que los piratas informáticos habían explotado la falla previamente desconocida en Ivanti Endpoint Manager Mobile (EPMM; anteriormente MobileIron Core) para comprometer a las agencias gubernamentales noruegas.

Sofie Nystrøm, directora ejecutiva de NSM de Noruega, dijo que el gobierno no podía revelar inicialmente la vulnerabilidad por «razones de seguridad», y señaló que la falla de seguridad se descubrió por «primera vez aquí en Noruega».

EPMM de Ivanti permite que los usuarios y dispositivos autorizados accedan a una red corporativa o gubernamental. Vulnerabilidad, rastreada como CVE-2023-35078, es una falla de omisión de autenticación que afecta a todas las versiones compatibles del software EPMM de Ivanti, así como a versiones anteriores no compatibles. Si se explota, la vulnerabilidad permite que cualquier persona en Internet acceda de forma remota al software, sin necesidad de credenciales, para acceder a la información personal de los usuarios, como nombres, números de teléfono y detalles del dispositivo móvil de otros usuarios en un sistema vulnerable, así como realizar cambios en el servidor afectado.

En una alerta publicada este lunes, la agencia estadounidense de ciberseguridad CISA prevenido que los atacantes podrían crear una cuenta administrativa de EPMM, lo que les permitiría realizar más cambios en un sistema vulnerable.

Bryan Thomas, un portavoz de Ivanti a través de una agencia externa, dijo a TechCrunch en un comunicado que al darse cuenta de la vulnerabilidad, la compañía «desarrolló y lanzó de inmediato una solución y está interactuando activamente con los clientes para ayudarlos a aplicar la solución», y agregó que «seguimos comprometidos con proporcionar y mantener productos seguros, mientras practicamos protocolos de divulgación responsables».

Sin embargo, Ivanti inicialmente mantuvo los detalles de la falla, a la que se le otorgó una calificación máxima de gravedad de vulnerabilidad de 10 sobre 10, detrás de un muro de pago, y habría preguntado clientes potencialmente afectados a firmar un acuerdo de confidencialidad antes de compartir detalles. En el momento de escribir este artículo, el artículo de la base de conocimientos de Ivanti sobre la vulnerabilidad todavía requiere que los usuarios inicien sesión antes de ver.

En breve alerta pública, Ivanti confirmó que estaba «al tanto de un número muy limitado de clientes que se han visto afectados». Cuando TechCrunch le preguntó, la compañía se negó a decir exactamente cuántos clientes se vieron afectados o si vio evidencia de exfiltración de datos como resultado de los ataques.

El NSM de Noruega confirmó que había notificado a la Autoridad Noruega de Protección de Datos (DPA) sobre el ataque dirigido a los ministerios del gobierno, lo que sugiere que los piratas informáticos pueden haber extraído datos confidenciales de los sistemas comprometidos.

Queda por determinar el alcance de las consecuencias de este día cero, pero muchas otras organizaciones podrían estar en riesgo si no se aplican las soluciones. De acuerdo a Shodanun motor de búsqueda de dispositivos expuestos públicamente, hay más de 2900 portales de MobileIron expuestos a Internet, la mayoría de los cuales se encuentran en los Estados Unidos.

Como anotado por el investigador de seguridad cibernética Kevin Beaumont, la gran mayoría de las organizaciones afectadas, una lista que incluye muchos departamentos gubernamentales de EE. UU. y el Reino Unido, aún no se han parcheado.