4 min Security

Zeroday in Ivanti-software treft voornamelijk Westerse landen

Zeroday in Ivanti-software treft voornamelijk Westerse landen

Servers die de Endpoint Manager Mobile (EPMM)-oplossing van Ivanti en dus twee kwetsbaarheden bevatten, zijn voornamelijk in het bezit van Westerse bedrijven en overheden. Er zijn patches beschikbaar, maar cybersecurity-specialisten vrezen dat hackers zich al lang in de netwerken bevinden. Het balletje begon te rollen nadat Noorwegen ontdekte dat ze het slachtoffer waren geworden van een hackaanval. Het einde van het verhaal lijkt nog niet in zicht.

Noorwegen maakte 24 juli bekend dat hackers via een zeroday een ingang hadden gevonden naar een software-platform dat twaalf Noorse ministeries gebruikte. Dezelfde dag nog maakte Ivanti bekend dat het om een zeroday in één van hun producten ging.

De zeroday CVE-2023-35078 bleek voor te komen in de Endpoint Manager Mobile (EPMM)-oplossing. Hackers kunnen zonder authenticatie toegang krijgen tot alle versies van de Ivanti-software. Hierbij horen dus ook de niet-ondersteunde en end-of-life releases van de software. Vervolgens kunnen zij via specifieke API-paden toegang krijgen tot persoonsgegevens, zoals namen en telefoonnummers, die op het systeem staan. Naast het stelen van persoonsgegevens is de zeroday inzetbaar om met de configuraties te knoeien. De hacker kan dit vanop afstand regelen.

Door de zeroday kan een hacker dus serieus wat schade aanrichten. Ivanti gaf in zijn schuldbekentenis gelukkig meteen een patch mee om het probleem op te lossen.

Lees ook: Ivanti brengt patch uit na zero day die Noorse overheid trof

Zeroday op zeroday

De problemen bleken echter nog niet van de baan. Vier dagen later moest Ivanti opbiechten dat er een tweede zeroday in het product zat. Hackers konden de mogelijkheden van beide zerodays samenleggen om administratorverificatie en ACL-restricties te omzeilen. Dat geeft mogelijkheden om bestanden aan te maken, aan te passen en te verwijderen.

Lees ook: Ivanti patcht weer een zero-day die de Noorse regering te grazen nam

Nochtans bleek het bedrijf niet zo goed te zijn in het bekendmaken van kwetsbaarheden. Het softwarebedrijf kreeg veel kritiek van security-experts toen het de eerste kwetsbaarheid wilde verhullen. Een bericht over de zeroday was enkel zichtbaar op een website waar betaalde abonnees toegang toe hadden. Al gauw draaide men dit beleid terug.

Voornamelijk gebruikt in Westerse landen

Onderzoekers van Unit 42 deden verder onderzoek naar de mogelijke gevolgen van de kwetsbaarheid. Het was al duidelijk dat Noorse ministeries de EPMM-oplossing gebruikten, maar welke andere landen en sectoren trof de kwetsbaarheid nog?

Een scan op 24 juli, de dag waarop de zeroday bekend werd gemaakt, toonde 5.500 kwetsbare Ivanti EPMM-servers. “De regionale statistieken van deze scan geven aan dat meer dan 80% van deze servers zich in Westerse landen bevinden”, vulde het onderzoeksrapport aan. De servers worden bovendien ingezet in een variëteit van sectoren: lokale en nationale overheidsdiensten, gezondheidszorg, juridische sector, universiteiten, financiële instellingen, VZW’s en retail.

Vroegere MobileIron

De EPMM-oplossing is niet door Ivanti zelf bedacht. Ze beheren de oplossing sinds 2020, na een overname van MobileIron. Volgens Ivanti zou dit voornamelijk de beveiliging van de oplossingen van MobileIron ten goede komen. Door de overname zouden de producten proactieve, autonoom werkende, zelfhelende en -beveiligende devices worden, wat de IT-dienst in een bedrijf veel werk bespaart.

De beveiliging van dergelijke oplossingen is cruciaal om persoonsgegevens uit de handen van hackers te houden. Door een mobile device management (MDM)-product te kraken, krijgt de hacker een doorgang naar smartphones, laptops en tablets van alle gebruikers die op het product zijn aangesloten. Vaak zijn dat alle werknemers van een bedrijf.

Onderzoeken blijven lopen

Ondertussen blijven de onderzoeken lopen. CISA uit de VS en het Norwegian National Cyber Security Centre (NCSC-NO) publiceerden op 2 augustus samen een adviesrapport over de situatie en de vervolgstappen.

Volgens het onderzoek dateren de eerste tekenen van uitbuiting al van april 2023. Het advies luidt dan ook om alle systemen te onderzoeken op mogelijke sporen van inbraak. CISA en de NCSC-NO vrezen dat de zerodays al massaal werden uitgebuit. De gevolgen van de kwetsbaarheden in Ivanti-software kunnen dus nog lang nazinderen en hebben mogelijks het vertrouwen in de IT-leverancier geschaad.