Bij de aanval op de Noorse overheid die gisteren werd gemeld is gebruikgemaakt van een kritiek zerodaylek in Ivanti Endpoint Manager Mobile (EPMM), dat eerder bekend stond als MobileIron Core. Dat heeft de Noorse veiligheidsdienst NSM laten weten. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren.

Gisteren maakte de Noorse overheid bekend dat een zerodaylek was gebruikt tegen een niet nader genoemd ict-platform waar twaalf Noorse ministeries mee werken. Nu blijkt dat het om Ivanti Endpoint Manager Mobile gaat. Het beveiligingslek in de software, aangeduid als CVE-2023-35078, betreft een "authentication bypass" waardoor een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen.

Vervolgens is het mogelijk om aanpassingen aan de server door te voeren of toegang tot persoonlijke informatie van gebruikers te krijgen, zo meldt de Australische overheid. De Amerikaanse overheid laat weten dat de aanvaller ook een beheerdersaccount kan aanmaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Volgens Ivanti is de zeroday voor zover bekend tegen een "zeer beperkt aantal" klanten ingezet. Een exact aantal wordt echter niet genoemd. De Noorse autoriteiten hebben inmiddels alle organisaties in het land die van EPMM/MobileIron Core gebruikmaken over het zerodaylek ingelicht en opgeroepen de beschikbaar gemaakte patches meteen te installeren.

"De kwetsbaarheid wordt op beperkte schaal actief misbruikt. Alhoewel ten tijde van schrijven weinig inhoudelijke details publiek beschikbaar zijn, is de verwachting dat de kans op misbruik toeneemt naarmate meer informatie beschikbaar komt", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Ook het NCSC adviseert organisaties om de door Ivanti beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren.