Noorse overheid erkent gehackt te zijn via zeroday in Ivanti

De Noorse overheid bevestigt dat hackers via een zeroday in Ivanti-software zijn binnengedrongen bij twaalf ministeries. De bug is een authenticatieomzeiling, maar het is niet bekend wat de hackers in de Noorse systemen hebben gedaan.

Het nationale cybersecuritycentrum, de Nasjonal sikkerhetsmyndighet, bevestigt voor het eerst dat de Noorse overheid door een lek in Ivanti is getroffen. Vorige week werd al bekend dat twaalf Noorse ministeries gehackt waren, maar de manier waarop dat gebeurde was tot dat moment onduidelijk. De NSM zegt nu dat dat gebeurde door CVE-2023-35078.

De bug is een authenticatieomzeiling in Ivanti Endpoint Manager Mobile, dat vroeger bekend was als MobileIron. De bug maakte het mogelijk om op afstand de authenticatie van een systeem te omzeilen en zo informatie af te lezen. Dat kon door specifieke api-paths te volgen. De kwetsbaarheid krijgt een CVSS-score van 10.

Bij de aanval op de Noorse overheid werden twaalf ministeries getroffen, maar de ministeries van Algemene Zaken, Defensie en Buitenlandse Zaken vielen daar niet onder. De overheid gaf voorheen nog geen details over de aanval, maar inmiddels is er een update beschikbaar gesteld door Ivanti waardoor de NSM meer informatie en een algemene waarschuwing af wil geven. Voor zover bekend is de aanval op Noorwegen de enige waarin de bug actief misbruikt werd.

Reacties (75)

bombadil 26 juli 2023 08:57

Mobile Iron wordt ook door de Nederlandse overheid gebruikt op telefoons en tablets. Denk niet onlogisch dat wij dan ook zijn gehackt.

TwiekertBOB @bombadil • 26 juli 2023 09:18

Het is een zeroday. Ik ga er vanuit dat niet iedere hacker daarvan op de hoogte is.

Om de aanname te doen dat de Nederlandse Overheid ook gehacked is moet je weten wie de dader is en wat het doel was.

Ik hoop in ieder geval dat de Nederlandse overheid de update heeft geïnstalleerd.

himlims_ @TwiekertBOB • 26 juli 2023 10:11

24-07 https://forums.ivanti.com...nerability?language=en_US

25-07 https://www.cisa.gov/news...obile-epmm-cve-2023-35078

25-07 https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0379

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@himlims_ • 26 juli 2023 10:37

NCSC: Exploit code beschikbaar: nee (nog) niet. Kortom zero day die nog niet elke hacker zomaar kan misbruiken tenzij het NCSC achterloopt wat betreft informatie.

benme @Bor • 26 juli 2023 12:11

Die begrijp ik niet helemaal gezien eerdere geloofwaardige bewering hierboven dat het kinderlijk eenvoudig is. In dat geval hoeft er geen code gepubliceerd te zijn, lijkt me irrelevant.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@benme • 26 juli 2023 12:55

Om een lek te misbruiken moet je nog steeds weten hoe, ook al is het 'kinderlijk eenvoudig'. Zo kan het bv zeer eenvoudig zijn om iets met een speciaal geprepareerde url te misbruiken maar dan moet je nog wel weten hoe je die url moet opbouwen.

FONfanatic @TwiekertBOB • 26 juli 2023 09:35

Wie er achter een hack schuil gaat is zelden te duiden, een beetje hacker zorgt ervoor dat goed te verbergen. Wat het concrete doel van een hack is blijft vaak in nevelen gehuld. Het belangrijkste is te constateren dat er door een anoniem is binnengedrongen in niet-publiek toegankelijke systemen.

benme @FONfanatic • 26 juli 2023 12:15

Dat is regelmatig (niet altijd) te duiden op basis van TTPs, na forensisch onderzoek of directe informatie uit SIEM/edr. Zie bijvoorbeeld MITRE @TTACK framework.

FONfanatic @benme • 26 juli 2023 12:24

Is me bekend. Het is een sport uit de handen van opsporingsdiensten te blijven, en voor die diensten om criminelen een paar stappen voor te blijven.

MiesvanderLippe @TwiekertBOB • 26 juli 2023 10:46

Het is in ieder geval niet moeilijk om uit te buiten. Je moet het pad wat je gebruikt om de API aan te roepen aanpassen;

https://www.mnemonic.io/r...ion-bypass-vulnerability/

Ofwel, Shodan query uitvoeren en een Python scriptje schrijven dan weet je alles. In principe zou een enkeling dit gewoon voor alle systemen kunnen doen. Toegang of zo'n eenvoudige exploit is best wat geld waard, dus het is maar de vraag of we op tijd zijn.

Overigens is iedereen die nu nog niet up-to-date is natuurlijk een open doel.

Warbringer @MiesvanderLippe • 26 juli 2023 11:33

Bedankt voor het posten van de link. We (ik werk bij mnemonic) hebben de exploit een aantal dagen geleden ontdekt en gemeld bij Ivanti. Die hebben hem ook bevestigd hebben en ondertussen patches voor uitgebracht dus. We ondersteunen nu de getroffen ministeries met Incident Response in het buitenwerken en opruimen van de threat actors.

Het misbruiken van de exploit is kinderlijk simpel zodra je een kwetsbare server hebt gevonden. Het goede nieuws is dat wij in ons sensor-netwerk nog geen andere pogingen tot exploiteren van deze zero-day hebben gezien.

MMaI @Warbringer • 26 juli 2023 16:40

Ik had niet anders verwacht dan kinderlijk simpel bij een leverancier die bWlhZG1pbjpNaTRtYW4xMQ== als default gebruikt.

Deveon @bombadil • 26 juli 2023 09:05

Dat is zeker onlogisch, maar het is in ieder geval wel interessant genoeg om na te gaan. Het feit dat het hetzelfde product gebruikt wordt kan je echter geen enkel, logisch, conclusie uit trekken. Vergeet niet dat Nederland haar cybersecurity reponse uitstekend geregeld heeft (vergeleken met andere landen of bedrijven).

FONfanatic @Deveon • 26 juli 2023 09:07

Reputatie vs. een directe associatie stellen?

Deveon @FONfanatic • 26 juli 2023 09:19

Als je baseert op wat publiek bekend is snap ik de redenatie maar dat maakt het nog niet logisch dat wanneer bij partij X ingebroken wordt dat diezelfde deur ook bij partij Y opengebroken is. Wanneer je binnen de overheid wat bekender bent met de materie dan slaat de reputatie echter de andere kant op. AIVD is bijzonder goed geïnformeerd en communiceert dit uitstekend naar de overheid instanties. De IT managers gaan vervolgens direct blussen om uit de publieke opinie te blijven (en hun baan te behouden). Persoonlijk zou ik mij bij de overheid meer zorgen maken over oude lekken, niet nieuwe. Als iets al 2 jaar stuk is dan ziet niemand de prioriteit om het op te lossen en gaat het op dezelfde baan als de IT projecten van de overheid.

FONfanatic @Deveon • 26 juli 2023 09:31

Adobe software had ook voordat het lek bleek een prima reputatie totdat ... Kortom, dat soort aannames ... Laten we afwachten wat het NCSC er concreet over te zeggen heeft (en erover naar buiten wil brengen).

Not_Disclosed @FONfanatic • 26 juli 2023 10:13

Gisteren bracht het NCSC het volgende advies uit: https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0379

oltk @Not_Disclosed • 27 juli 2023 07:57

NCSC heeft al vorige week aan alle overheidsdiensten gemeld dat dit lek er is, en wat we moeten doen. De managers van de IT diensten werden zelfs persoonlijk gebeld.

NCSC heeft de zaakjes redelijk op orde.

FONfanatic @Not_Disclosed • 26 juli 2023 11:56

Kijk, aan zo'n inhoudelijke reactie heb je tenminste iets.

Verwijderd @bombadil • 26 juli 2023 10:31

De Nederlandse overheid is groot en veel (grote) overheidsinstanties gebruiken een andere oplossing.
Denk dat het onlogisch is om zomaar dingen aan te nemen....

Dat gezegd, aannemen dat je bent gehackt is een goede instelling. Dat noemen ze een zero-trust aanpak.

MrMonkE @bombadil • 26 juli 2023 09:02

Daar zien we dan over 4 weken wel een artikel van.
Dat ze er ook achter zijn dat ze zijn gehakked.

Sebastian1313 @MrMonkE • 26 juli 2023 09:06

En al die andere duizenden bedrijven die Ivanti gebruiken als workspace. Is inderdaad niet onrealistisch dat duizenden bedrijven ook ongewenste bezoekers hebben gehad.

Metalfreak @Sebastian1313 • 26 juli 2023 09:19

Ivanti Workspace Control =/= Ivanti Endpoint Manager Mobile

Dat zijn twee compleet andere pakketten. Godzijdank, anders had ik het heel druk gehad deze week

MrMonkE @Sebastian1313 • 26 juli 2023 09:18

Jup er zitten wat CTO's te zweten momenteel

hbt68 @bombadil • 26 juli 2023 09:16

overheid bestaat uit vele delen, waar ook andere systemen gebruikt worden dan genoemde

InsanelyHack @bombadil • 26 juli 2023 09:28

Ik heb ook een iPad van de Nederlandse Overheid (min. v. EZ) maar ik zie niks van Mobile Iron. Ook niet op mijn telefoon. Ik heb alleen Citrix Secure Hub voor intranet, mail en een integratie met teams.

bombadil @InsanelyHack • 26 juli 2023 11:18

o.a. minfin en de Belastingdienst gebruikten Mobile Iron in 2022.
Opvallend als het per ministerie verschilt.

Zenix @bombadil • 26 juli 2023 18:37

Gebruikten inderdaad, inmiddels niet meer.

Jogai 26 juli 2023 08:57

Maar wat kan je (inzien) met ivanti?

wildhagen

Hackers
Beveiliging en antivirus

@Jogai • 26 juli 2023 09:18

A vulnerability has been discovered in Ivanti Endpoint Manager Mobile (EPMM), formerly known as MobileIron Core. This vulnerability impacts all supported versions 11.10, 11.9 and 11.8. Older versions/releases are also at risk.

If exploited, this vulnerability enables an unauthorized, remote (internet-facing) actor to potentially access users’ personally identifiable information and make limited changes to the server.

Zie https://forums.ivanti.com...nerability-CVE-2023-35078

Dat kan dus serieuze impact hebben op de hele organisatie, omdat ze ook (weliswaar beperkt) aanpassingen kunnen maken op de server.

[Reactie gewijzigd door wildhagen op 24 juli 2024 06:13]

Kiswum @wildhagen • 26 juli 2023 10:05

Een registratie op het forum is verplicht om de link te bekijken.
Staat het artikel eventueel nog op een andere locatie?

wildhagen

Hackers
Beveiliging en antivirus

@Kiswum • 26 juli 2023 10:09

Excuus, dat had ik niet in de gaten (ik ben permanent ingelogd op dat support forum). Je kan de in het artikel gelinkte dan gebruiken: https://forums.ivanti.com...nerability?language=en_US

Die is alleen meer summier, zonder Resolution enzo.

De kern van de resolution is dit:

EPMM Supported Releases (11.8.1.0, 11.9.1.0,11.10.0.1)
- Upgrade EPMM with patch releases (11.8.1.1, 11.9.1.1 and 11.10.0.2) from system manager portal

EPMM Unsupported Releases (<11.8.1.0)
- Ivanti highly recommends you upgrade to the latest version of EPMM to ensure you have the latest security and stability fixes.

bapemania @Jogai • 26 juli 2023 09:02

Op zich (potentieel) best veel aangezien het een werkplekbeheer systeem is.

wildhagen

Hackers
Beveiliging en antivirus

@bapemania • 26 juli 2023 09:21

Wat jij bedoelt is Ivanti Workspace Control (voorheen; Workspace Manager, daarvoor ook bekend als RES Powerfuse, voor het Nederlandse RES Software door Ivanti werd overgenonen).

Hier gaat hier bij dit beveiligingslek om het produkt Endpoint Manager Mobile wat vroeger MobileIron was. Dat is een MDM-oplossing (zoals bijvoorbeeld Microsoft Intune), dus geen werkplekbeheer systeem pur sang, hoewel het wel zou kunnen wordt dit produkt daar doorgaans niet/minder vaak voor gebruikt. Daar is, als je het bij Ivanti houdt, Workspace Control, meer voor geschikt (al dan niet combinatie met EMM) door de uitgebreidere mogelijkheden.

[Reactie gewijzigd door wildhagen op 24 juli 2024 06:13]

TheVMaster Moderator WOS @wildhagen • 26 juli 2023 09:28

Waarom zou je daar geen werkplekken mee kunnen beheren? Als het een MDM-oplossing is zoals Intune, dan kan dat wel degelijk. Intune is ook een MDM-oplossing waarmee je Windows 10 en 11 devices kunt beheren. Wil niet zeggen dat het ook zo gebruikt wordt natuurlijk door die overheden, maar in het geval van Intune gebeurt dat dus vaak wel.

[Reactie gewijzigd door TheVMaster op 24 juli 2024 06:13]

Dutch2007 @TheVMaster • 26 juli 2023 09:46

Met intune kan je ook apps deployment, bij ivanti heb je een 2e los product nodig (ivanti automation), waarbij je een app moet pushen en ik persoonlijk minder fijn vind weken tov intune (bijv app upgrade is met een msi in intune alleen de msi uploaden naar de zelfde app, bij automation is het een 2e module maken en die dan handmatig deployment, terwijl dat automatisch gaat in intune)

TheVMaster Moderator WOS @Dutch2007 • 26 juli 2023 09:47

I know. Ik hou me eigenlijk op dagelijkse basis bezig met Intune voor de laatste 7+ jaren ;-)

Dutch2007 @TheVMaster • 26 juli 2023 09:48

Aangenaam concu-lega 😅😉

TheVMaster Moderator WOS @Dutch2007 • 26 juli 2023 09:49

Verwijderd @TheVMaster • 26 juli 2023 10:39

De overheid maakt meestal gebruik van Microsoft werkplekken en die kan je niet (fatsoenlijk) met enkel MDM oplossingen beheren. Microsoft's eigen oplossing (Intune) werkt daar omheen door allerlei fratsen zoals (powershell) scripts en agents die policies (AMDX) apart downloaden en afdwingen. Plus het feit dat je de duurste licenties moet hebben van Microsoft anders kan je zelfs niet eens een achtergrond veranderen.

De meeste organisaties kiezen er daarom voor om het 'traditioneel' te beheren of (gedeeltelijk) afscheid te nemen van Windows.

goarilla @TheVMaster • 26 juli 2023 12:46

Maar blijf jij je Windows werkplekken lekker op de 'traditionele' manier (met ConfigMgr ofzo?) beheren, terwijl de rest van de wereld richting modernere oplossingen aan het bewegen is.

Is SCCM vervangen door inTune ?

TheVMaster Moderator WOS @goarilla • 26 juli 2023 13:20

Zeker niet. Maar er zijn veel bedrijven die afstappen van ConfigMgr en helemaal overstappen op Intune (zonder hoofdletter T 😇). Een klein deel zie ik overigens co-management gebruiken, meestal weer met native Azure AD joined devices. Hybrid kom ik (gelukkig) steeds minder tegen.

musiman

@goarilla • 26 juli 2023 13:59

De meeste features die in SCCM zitten, zijn geport naar Intune. Zaken als bare metal installaties kunnen echter alleen nog door SCCM gedaan worden, niet door Intune. Daarnaast kan Intune veel dingen die SCCM niet kan, zoals Android/iPhones e.d. beheren. Ook zaken als Autopilot bijvoorbeeld, waarbij een medewerker een laptop rechtstreeks van de fabrikant/leverancier krijgt. Deze medewerker hoeft er alleen maar voor te zorgen dat die laptop een internetverbinding heeft, hem aan moet zetten en in moet loggen met zijn zakelijke credentials. Intune zorgt er dan voor dat alles ingesteld/geïnstalleerd wordt (mits de Intune beheerder alles netjes van tevoren geconfigureerd heeft in Intune).

DigitalExorcist @Jogai • 26 juli 2023 09:37

Denk een beetje aan Kaseya van 2 jaar terug. Het is de endpoint-managementoplossing van Ivanti, dus vrijwel alles wat jouw endpoints aangaan (geïnstalleerde software t/m IP-adressen en usernames) kun je zien.

NLKornolio @Jogai • 26 juli 2023 20:29

Maar wat kan je (inzien) met ivanti?

Is een mdm net als Intune.

biomass

26 juli 2023 09:19

Het stuk software met de zeroday is in 2020 overgenomen door Ivanti. Ik dacht bij Ivanti aan Pulse Secure, maar ze hebben dus ook MobileIron overgenomen

Baardmeester @biomass • 26 juli 2023 15:07

MobileIron is in de laatste paar subversies van 11 hernoemt naar Ivanti EPMM.

Yordi- 26 juli 2023 09:17

Ik denk dat het ook eens tijd wordt nalatigheid te onderzoeken bij dit soort gevallen, zeker bij bedrijven die dit soort kritieke software aan overheden levert. Een authentication bypass klinkt als een kwalijke kwetsbaarheid die niet in dit soort software hoort te zitten.

FONfanatic @Yordi- • 26 juli 2023 09:41

Kwetsbaarheden staan gewoonlijk niet in software en zijn meestal ontstaan doordat software laagsgewijs ontworpen wordt door verschillende afdelingen volgens de Agile-methodieken.

De backdoors die op verzoek van de Amerikaanse overheidsdienst NSC in software waren aangebracht - Edward Snowden lekte die informatie destijds - zijn van een ander kaliber.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@FONfanatic • 26 juli 2023 09:49

Kwetsbaarheden staan gewoonlijk niet in software en zijn meestal ontstaan doordat software laagsgewijs ontworpen wordt door verschillende afdelingen volgens de Agile-methodieken.

Nee hoor. Dat heeft er op zich niets mee van doen. Kwetsbaarheden zjjn simpelweg fouten of onvoorziene werkingen in software. Deze komen ook met andere ontwikkelmethoden als waterfalll, sprial, rapid protoryping etc voor. De ontwikkelmethoden heeft hier an sich weinig mee van doen. Ook met een agile aanpak kan en hoort er aandacht voor de veiligheid van code en software te zijn.

Backdoors die opzettelijk zijn aangebracht zijn weer een heel ander fenomeen. Daar gaat het om ongewenste maar wel bedoelde functionaliteit. Een hoog klok / klepel gehalte.

[Reactie gewijzigd door Bor op 24 juli 2024 06:13]

SED @Bor • 26 juli 2023 11:59

Nee hoor. Dat heeft er op zich niets mee van doen.

Jammer van je start. Net zoals de zaken die jij noemt is agile wel degelijk een van de oorzaken .
Deelgebieden van code opsplitsen tussen verschillende teams heeft nu eenmaal zo zijn gevolgen.
En ja daar hoort aandacht voor te zijn

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@SED • 26 juli 2023 12:59

Jammer van je start. Net zoals de zaken die jij noemt is agile wel degelijk een van de oorzaken

Het kan een oorzaak zijn wanneer je aandacht voor security niet goed in het ontwikkelproces inbouwt. Daar is een agile aanpak niet anders dan meer traditionele aanpak. En daarbij, wie zegt dat dit stuk code middels een agile methode is ontwikkeld?

SED @Bor • 27 juli 2023 16:56

Niemand zegt dat, alleen jij ontkende dat het een oorzaak kan zijn. Dat is wel degelijk het geval

FONfanatic @Bor • 26 juli 2023 12:13

Met Agile heb je wel het probleem dat teams niet altijd open en adequaat met elkaar communiceren. Daarop duidde ik.

Over die backdoors: destijds trachtte de NSA die te verdoezelen door te stellen dat het softwarefoutjes betroffen. Tot zover de klepel die door de klokkenluider al aangeduid werd als onbetrouwbaar.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@FONfanatic • 26 juli 2023 13:01

Met Agile heb je wel het probleem dat teams niet altijd open en adequaat met elkaar communiceren. Daarop duidde ik.

Ook dat hoeft niet en is geen specifiek kenmerk van een agile ontwikkelmethode. Binnen elke methode is communicatie belangrijk net als aandacht voor security (by design).

SED @Bor • 27 juli 2023 16:58

Het probleem met agile is vaak dat de opsplitsing in teams die delen van code aanpakken een overkoepelende regie tot noodzaak maakt. Daar gaat het te vaak mis.

InsanelyHack @Yordi- • 26 juli 2023 09:34

Ja, ik vraag me dan af of de keuze van een “kleinere” leverancier dan wel capabel genoeg is om bij dit soort exploits snel en adequaat de zaken op te lossen. Ik ben tegen macht van de grote tech bedrijven maar een Microsoft oplossing zoals b.v. inTune kan zich dit soort zaken niet veroorloven ivm reputatieschade. Loopt de (imago) schade bij een kleine leverancier in de miljoenen dan loopt het bij de grotere tech bedrijven in de miljarden. Ik heb dan een gevoel van “ze zullen er wel veel meer capabele mensen opzetten om alles beter te testen” maar ook besef ik dat dit een totaal verkeerde aanname kan zijn.

Keypunchie @Yordi- • 26 juli 2023 10:26

Je kunt verantwoordelijkheid voor kwetsbaarheden gewoon in het contract zetten, maar de vraag is welke leverancier je zo gek krijgt om dat risico te gaan lopen.

De vraag is ook wat je ermee opschiet dan. Misschien wel een lakse leverancier die denkt "nou, ik betaal wel als het ooit zo loopt".

Voor het financiele stuk kun je beter een verzekering afsluiten dan een boeteclausule voor de leverancier, denk ik dan.

FONfanatic @Keypunchie • 26 juli 2023 12:05

Wie er voor een kwetsbaarheid opdraait is natuurlijk een kwestie van ketenaansprakelijkheid. De softwareleverancier zal naar de softwareontwikkelaar wijzen, die inderdaad de rol van de gebeten hond toekomt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Yordi- • 26 juli 2023 17:50

Ik denk dat het ook eens tijd wordt nalatigheid te onderzoeken bij dit soort gevallen, zeker bij bedrijven die dit soort kritieke software aan overheden levert. Een authentication bypass klinkt als een kwalijke kwetsbaarheid die niet in dit soort software hoort te zitten.

Maar dat maakt het bestaan hiervan niet meteen nalatig? Of heb je aanwijzingen dat hiervan in dit geval sprake is?

[Reactie gewijzigd door Bor op 24 juli 2024 06:13]

slijkie 26 juli 2023 09:57

Bericht dat 2 dagen dus gepost is door de NSM. Zojuist even gekeken naar de Noorse media, helemaal niks.

Woon in Noorwegen en moet hierover lezen op Tweakers, anders nooit geweten.

Heel vreemd.

ramdejong74 @slijkie • 26 juli 2023 11:48

Ik denk dat je beter moet kijken. Volgens mij is het in elk Noorse nieuwsmedium gemeld.

slijkie @ramdejong74 • 26 juli 2023 13:05

Post dan even wat links? Niks op de 2 grootste mediums te vinden. (VG & Aftenposten)

Edit: Aftenposten dus wel, maar niks voorpagina, lijkt nogal ‘onbelangrijk’ blijkbaar.

Als Facebook 5 min down is staat het op alle voorpagina’s.

[Reactie gewijzigd door slijkie op 24 juli 2024 06:13]

FONfanatic @slijkie • 26 juli 2023 12:08

Eh en dit bericht dan? Gevonden via Google, met als zoekopdracht "NSM + ivanti".

slijkie @FONfanatic • 26 juli 2023 13:04

Dat is de bron, en dat is geen media. Een overheidswebsite dus.

Grootste noorse krant is de VG. Daar is hier niks over te vinden, daarna is Aftenposten. Ook niks over te lezen.

Edit: Aftenposten dus wel, was niet makkelijk te vinden.

[Reactie gewijzigd door slijkie op 24 juli 2024 06:13]

FONfanatic @slijkie • 26 juli 2023 15:14

Daar zou ik die media dan eens op aanspreken in je beste Bokmål.

MMaI @FONfanatic • 26 juli 2023 16:46

Misschien kan @slijkie alleen nynorsk