Nieuws

Noorse overheid meldt zeroday-aanval op ict-platform van twaalf ministeries

maandag 24 juli 2023, 10:10 door Redactie, 13 reacties

Laatst bijgewerkt: 26-07-2023, 14:55

De Noorse overheid is het slachtoffer geworden van een aanval waarbij gebruik is gemaakt van een zerodaylek om een ict-platform aan te vallen waar twaalf ministeries gebruik van maken, zo laat het Noorse ministerie van Lokaal Bestuur en Regionale Ontwikkeling in een verklaring weten.

Volgens de autoriteiten hebben de aanvallers misbruik gemaakt van een "voorheen onbekende kwetsbaarheid" in de software van een leverancier. "Deze kwetsbaarheid is misbruikt door een onbekende actor. We hebben het beveiligingslek verholpen. Het is nog te vroeg om iets te zeggen over wie erachter zit en de omvang van de aanval", aldus de verklaring.

Daarin wordt ook gesteld dat het werk van de Noorse regering gewoon doorgaat en er extra beveiligingsmaatregelen zijn genomen om de gegevens op het ict-platform te beveiligen. Het gevolg van de maatregelen is dat medewerkers van de twaalf ministeries nu geen toegang hebben tot allerlei diensten, waaronder e-mail. Medewerkers kunnen op kantoor of thuis nog wel gewoon op hun computer werken. De Noorse politie heeft inmiddels een onderzoek ingesteld en de Noorse privacytoezichthouder is ingelicht.

Update

Het zerodaylek bevindt zich in Ivanti Endpoint Manager Mobile, zoals dinsdagochtend gemeld door Security.NL.

Kabinet tegen verbod op real-time gezichtsherkenning in openbare ruimte

Ransomwaregroep publiceert gestolen MOVEit-data op clearnet websites

Reacties (13)

24-07-2023, 11:43 door Anoniem

Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

24-07-2023, 13:02 door User2048

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

24-07-2023, 14:34 door Anoniem

Door User2048:

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

Dus als er in de Ukraine een bom valt moet eerst de schade gerepareerd worden alvorens te vermelden om wat voor raket het ging. Wat een onzin. Het is van belang om te weten waartegen we ons moeten verweren.

25-07-2023, 08:50 door Anoniem

snelle gok:

https://www.security.nl/posting/804506/%22Vijftienduizend+Citrix-servers+missen+update+voor+actief+aangevallen+lek%22
https://www.security.nl/posting/804277/NetScaler-servers+sinds+juni+via+zerodaylek+ge%C3%AFnfecteerd+met+webshells
https://www.security.nl/posting/803918/Citrix+waarschuwt+voor+actief+aangevallen+zerodaylek+in+ADC+en+Gateway

25-07-2023, 10:18 door Anoniem

Door Anoniem: Dus als er in de Ukraine een bom valt moet eerst de schade gerepareerd worden alvorens te vermelden om wat voor raket het ging. Wat een onzin. Het is van belang om te weten waartegen we ons moeten verweren.

Die vergelijking gaat niet op. Bij raketaanvallen kunnen vele types raketten nagenoeg alle gebouwen verwoesten of ernstig beschadigen. Bij een kwetsbaarheid in software zijn alleen de gebruikers van die specifieke software kwetsbaar, en wordt de kans op misbruik aanzienlijk groter als voordat er een patch is uitgerold potentiële misbruikers op een presenteerblaadje krijgen aangereikt waar ze hun aandacht op moeten richten. Die situaties verschillen wezenlijk van elkaar.

Dat gezegd hebbende vind ik de Noorse overheid wel erg gesloten hierin. Even aangeven waarom er (nog?) geen details worden prijsgegeven voegt al heel wat duidelijkheid toe over de situatie zonder dat het risico's oplevert.

25-07-2023, 14:32 door Anoniem

Door Anoniem:

Door User2048:

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

Nee dat is niet van belang, en zeer zeker geen onzin. Dit is een standaard werkwijze. https://www.ncsc.nl/onderwerpen/traffic-light-protocol

25-07-2023, 16:19 door Anoniem

Door Anoniem:

Door User2048:

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

Nee dat is niet van belang, en zeer zeker geen onzin. Dit is een standaard werkwijze. https://www.ncsc.nl/onderwerpen/traffic-light-protocol

Het is zeker van belang want het wordt al misbruikt! waar anderen ook last van kunnen hebben. Nu mogen we het raden. Zal wel weer een Microsoft product zijn of Citrix.

26-07-2023, 12:12 door Anoniem

Door Anoniem:

Door User2048:

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

Nee dat is niet van belang, en zeer zeker geen onzin. Dit is een standaard werkwijze. https://www.ncsc.nl/onderwerpen/traffic-light-protocol

Het is zeker van belang want het wordt al misbruikt! waar anderen ook last van kunnen hebben. Nu mogen we het raden. Zal wel weer een Microsoft product zijn of Citrix.

In plaats van gokken kun je ook wat meer security nieuws lezen .

Het betrof het mobile device management platform .

https://www.bleepingcomputer.com/news/security/norway-says-ivanti-zero-day-was-used-to-hack-govt-it-systems/

Ivanti's Endpoint Manager Mobile (EPMM) mobile device management software (formerly MobileIron Core),

26-07-2023, 12:34 door Anoniem

Door Anoniem:

Door User2048:

Door Anoniem: Waarom wordt het platform niet verteld. Is namelijk zeer relevant. Mag dat niet van de leverancier?

Ze zullen eerst het lek willen dichten en het daarna pas bekend maken.

Nee dat is niet van belang, en zeer zeker geen onzin. Dit is een standaard werkwijze. https://www.ncsc.nl/onderwerpen/traffic-light-protocol

Het is zeker van belang want het wordt al misbruikt! waar anderen ook last van kunnen hebben. Nu mogen we het raden. Zal wel weer een Microsoft product zijn of Citrix.

Lezen wat er niet stond; lol. Dat artikel is pas van gisteren! Vraag is denk ik ook waarom vermeld security.nl het niet?

26-07-2023, 12:35 door Anoniem

Lezen wat er niet stond; lol. Dat artikel is pas van gisteren! Vraag is denk ik ook waarom vermeld security.nl het niet?

https://www.security.nl/posting/804656/Noorse+overheid+aangevallen+via+zeroday+in+Ivanti+Endpoint+Manager+Mobile

26-07-2023, 13:37 door Anoniem

Floris Hulshoff op Techzine meldt dat Ivanti reeds een ptach heeft uitgebracht voor deze CVE-2023-35078-kwetsbaarheid in zijn Endpoint Manager Mobile (EPMM)-software, waarvan akte.

Het is nu dus "water under the bridge", op naar de volgende zero-day data-breach.

26-07-2023, 13:46 door Anoniem

Waar ging het om?

API v2 kon benaderd worden zonder authenticatie door het wijzigen van het URI-pad.
Volgens de API documentatie zijn alle API aanroepen gebaseerd op het formaat: https://[core server]/api/v2/.
(info-bron: SocRadar).

Kijk het nadeel voor de beveiliging is, dat men met van alles en nog wat rekening moet houden,
terwijl een mogelijke aanvaller aan 1 enkel werkend gaatje genoeg kan hebben.

De rollen zijn hier dus vaak niet eerlijk verdeeld.

luntrus

27-07-2023, 10:52 door Anoniem

Door Anoniem: Waar ging het om?

API v2 kon benaderd worden zonder authenticatie door het wijzigen van het URI-pad.
Volgens de API documentatie zijn alle API aanroepen gebaseerd op het formaat: https://[core server]/api/v2/.
(info-bron: SocRadar).

Kijk het nadeel voor de beveiliging is, dat men met van alles en nog wat rekening moet houden,
terwijl een mogelijke aanvaller aan 1 enkel werkend gaatje genoeg kan hebben.

De rollen zijn hier dus vaak niet eerlijk verdeeld.

luntrus

Daarom is het handig dat je een framework gebruikt waar dit allemaal standaard is afgevangen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer