Af Eskil Sørensen, 02/08/23
Der er i alt 5.500 Ivanti Endpoint Manager Mobile-servere fordelt på 85 lande i verden. Det slår Palo Alto Networks Unit 42 fast i en advisory, som er refereret i The Records omtale af sommerens store kompromitteringshistorie i Norge. Her blev det i midten af juli kendt, at myndigheder i Norge havde været udsat for et cyberangreb, hvor ukendte trusselsaktører med forbindelse til et ikke navngivet land udnyttede en sårbarhed i den platform, som anvendes til at opsætte politikker for mobile enheder, applikationer og indhold.
Unit 42 dykkede ned sagen ifm. med offentliggørelsen og undersøgte udbredelsen af løsningen. Det viser sig, at der er 5.500 Ivanti Endpoint Manager Mobile-servere eksponeret mod internettet. Serverne befinder sig i 85 lande i verden. Af de ti lande, som tegner sig for fleste servere, står Tyskland og USA står for til sammen 69 pct. Interessant nok er det, at Sverige befinder sig på 10.-pladsen med 2,6 pct. I lagkagediagrammet neden for er der kun vist en fordeling andel af servere inden for top 10, dvs. det fremgår ikke hvor på listen Norge eller Danmark for den sags skyld måtte befinde sig.
Data kommer fra Palo Altos ‘Cortex Xpanse attack surface management data scanning’, som blev gennemført den 24. juli.
Scanningen viser endvidere, at de 5.500 servere spænder over flere versioner. Palo Alto skriver, at de regionale statistikker fra scanningen viser, at over 80 pct af serverne befinder sig i vestlige lande og spænder over flere industrisektorer, herunder universiteter. Andre sektorer er bl.a. lokale og nationale myndigheder, sundhedsorganisationer, advokatfirmaer og andre juridiske enheder, banker og finansielle institutioner, velgørenhedsorganisationer og detailhandel.
Den mest alvorlige af de to kendte sårbarheder, CVE-2023-35078, påvirker version 11.10, 11.9 og 11.8, men ældre versioner er også i risiko for en mulig udnyttelse, hedder det.
CVE-2023-35078 har fået scoren 10,0. Siden scanningen blev gennemført, er der opdaget en anden sårbarhed CVE-2023-35081, som har scoren 7,8. Begge er sat på CISAs katalog over kendte udnyttede sårbarheder.
Links:
https://unit42.paloaltonetworks.com/threat-brief-cve-2023-35078/
https://therecord.media/ivanti-hack-began-in-april
https://cert.dk/da/news/2023-08-02/Hack-mod-norske-myndigheder-startede-maaneder-foer-opdagelsen