Im Ivanti Endpoint Manager Mobile (EPMM), früher bekannt als Mobileiron Core, gibt es eine schwerwiegende Sicherheitslücke. Die Schwachstelle
(CVE-2023-35078) wird mit dem höchsten CVS-Score 10.0 bewertet und betrifft alle aktuell unterstützten Versionen. Auch ältere Releases seien gefährdet, heisst es im Security Advisory von Ivanti.
Wenn diese Schwachstelle ausgenutzt wird, könnte ein unbefugter Akteur über das Internet aus der Ferne auf die Software zugreifen, ohne Anmeldeinformationen zu benötigen. So könnten Angreifer auf persönliche Daten und weitere Informationen der Benutzer zugreifen sowie begrenzt Änderungen an dem betroffenen Server vornehmen.
Ein Patch steht bereit. Kunden sollten sofort Massnahmen ergreifen, um sicherzustellen, dass ihre Systeme geschützt sind, so Ivanti. Weitere Informationen liefert das Unternehmen auf seinem
Kundenportal, für das ein Login benötigt wird.
Norwegische Regierung betroffen
Die Schwachstelle wird bereits ausgenutzt. Man wisse von einer "sehr begrenzten Anzahl von Kunden", die davon betroffen seien, so Ivanti im Advisory, das zuletzt am 25. Juli aktualisiert worden ist.
Zu diesem Kundenkreis gehört die Regierung in Norwegen. Angreifer hatten die Schwachstelle ausgenutzt, um ein Dutzend norwegische Regierungsbehörden zu kompromittieren. Die Sicherheits- und Serviceorganisation (DSS) des Landes erklärte am Montag, dass eine von 12 Ministerien genutzte IT-Plattform von einem "Datenangriff" betroffen war. Namen wurden keine genannt. Die DSS erklärte aber, dass das Verteidigungs- und Aussenministerium sowie das Büro des Präsidenten nicht betroffen seien.
Zunächst hiess es von der Regierung lediglich, der Angriff sei auf "eine bisher unbekannte Schwachstelle in der Software eines Lieferanten" zurückzuführen. Später bestätigte das Land, dass Hacker die Lücke im Invanti EPMM ausgenutzt haben. Man habe den Hersteller aus "Sicherheitsgründen" nicht sofort publik gemacht, so die Generaldirektorin der National Security Authority, Sofie Nystrøm. Denn eine Nennung hätte dazu beitragen können, dass die Lücke auch bei anderen Behörden oder Unternehmen ausgenutzt wird.
Auch die US-Cyberbehörde warnt
In einer Stellungnahme schreibt die amerikanische Securitybehörde CISA, dass Angreifer, die die Lücke ausnutzen, auch Administrator-Konten erstellen könnten. Dies würde es Akteuren ermöglichen, weitere Änderungen an einem System vorzunehmen.
Basierend auf Daten der Scanning-Plattform Shodan
berichtet 'Bleeping Computer' von knapp 3000 Nutzer-Portalen, die exponiert seien, darunter auch einige Bundes- und Lokalbehörden der USA. Ausserdem finden sich rund 70 exponierte Portale in der Schweiz.