Una vulnerabilidad de Ivanti es explotada activamente en Noruega
Los gobiernos se apresuran a instar a todos sus usuarios a que parcheen sus sistemas lo antes posible.
Ivanti, antigua MobileIron, ha confirmado un error de seguridad que ha comprometido sistemas gubernamentales en Noruega. La vulnerabilidad, según explica, implica una posible omisión de la autenticación de usuario del sistema, lo que permite a los atacantes remotos acceder a algunas funciones y recursos de EPMM. Esta ha recibido una puntuación CVSS de 10 sobre 10.
De este modo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha declarado que el problema está relacionado con las rutas API vulnerables. Los atacantes que obtienen acceso a esas rutas a través del fallo de autenticación pueden extraer información de identificación personal e incluso crear cuentas administrativas de EPPMM para explotar aún más su acceso.
“Hemos recibido información de una fuente creíble que indica se ha producido una explotación”, ha comunicado Ivanti. “Seguimos trabajando con nuestros clientes y socios para investigar esta situación”.
La CISA no ha aclarado si la vulnerabilidad se está explotando en los Estados Unidos, pero varios informes dicen que casi 3.000 portales de usuarios afectados han sido visibles para la plataforma Shodan, incluidos varios identificados con agencias del Gobierno del país norteamericano.
La vulnerabilidad ha sido explotada en Noruega
Este error ya ha sido explotado activamente en Noruega, según un comunicado de la Organización Noruega de Seguridad y Servicios. Dijo que, si bien la vulnerabilidad de acceso remoto se ha reparado, algunos servicios móviles, como el acceso remoto al correo electrónico, están fuera de línea, y que la policía está investigando el incidente. Su Centro Nacional de Seguridad Cibernética también ha emitido una declaración, en la que insta a todos los usuarios a aplicar los últimos parches lo más rápido posible. Además, está trabajando en notificar directamente a las empresas afectadas.
En cualquier caso, el Gobierno de la geografía aún no ha identificado a ningún actor o grupo que haya utilizado la vulnerabilidad para acceder a sus sistemas, aunque reitera que la investigación sigue en curso.
