Twee lekken misbruikt in hack Noorse ministeries

Vorige week werd bekend dat 12 Noorse ministeries gehackt waren via een lek in Ivanti Endpoint Manager Mobile (EPMM), de Mobile Device Management-oplossing van het bedrijf, voorheen MobileIron Core genaamd. Nu blijkt dat ook gebruik is gemaakt van een tweede lek in de software. Dit lek, CVE-2023-35081, is een zogeheten ‘path traversal’-lek. Daarmee kan een kwaadwillende die administratorrechten heeft willekeurige bestanden naar de EPMM-server schrijven. Hij kan willekeurige OS-commando's uitvoeren met, onder andere, rechten van het tomcat-proces, meldt het NCSC.

Vorige week bleek al dat de aanvallers een lek in EPMM hadden misbruikt, CVE-2023-35078. Hiermee kan een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen. De impact daarvan werd bepaald op 10, het hoogst mogelijke niveau. Ivanti heeft dit lek verholpen, maar nu blijkt dat er nog een tweede lek werd misbruikt, in combinatie met het eerste. Ook hiervoor is nu een oplossing ontwikkeld. Volgens Ivanti zijn er geen aanwijzingen dat de kwetsbaarheid zelfstandig is misbruikt in andere activiteiten.

Eerder werd al zeer dringend aangeraden een update door te voeren. Dat advies blijft staan.