La piattaforma ICT utilizzata da dodici ministeri del governo norvegese è stata violata da hacker sconosciuti sfruttando una vulnerabilità zero-day in un software di terze parti. L’attacco è stato ufficializzato lunedì dall’organizzazione dei servizi e della sicurezza dei ministeri (il DSS), il quale ha comunicato che sta lavorando a stretto contatto con l’autorità di sicurezza nazionale (NSM) e la polizia e che ha implementato una serie di misure per far fronte all’incidente.
“Abbiamo scoperto una vulnerabilità precedentemente sconosciuta nel software di uno dei nostri fornitori. Questa vulnerabilità è stata sfruttata da un attore sconosciuto. Ora abbiamo chiuso questa vulnerabilità. È troppo presto per dire qualcosa su chi c’è dietro e sull’entità dell’attacco. Le nostre indagini e quelle della polizia saranno in grado di fornire ulteriori risposte”, ha dichiarato Erik Hope, direttore dell’Organizzazione per la sicurezza e i servizi dei dipartimenti (DSS).
DSS ha avviato una serie di misure di sicurezza. La conseguenza di una di queste misure di sicurezza è che i dipendenti dei 12 ministeri ora non hanno accesso ai servizi mobili comuni di DSS, inclusa la posta elettronica. I dipendenti possono continuare a lavorare normalmente sui loro computer in ufficio o a casa.
La “falla” è stata attribuita a una vulnerabilità zero-day in Ivanti Endpoint Manager. Le autorità norvegesi hanno quindi collaborato con Ivanti e la falla è stata chiusa con un aggiornamento software, che è liberamente disponibile. Ciò permette di rendere pubblica la vulnerabilità, che è stata catalogata come CVE-2023-35078. E riguarda diverse versioni di Ivanti Endpoint Manager (EPMM), noto anche come MobileIron Core.
La piattaforma ICT del DSS è utilizzata da tutti i ministeri, ad eccezione della Presidenza del Consiglio dei Ministri, del Ministero della Difesa, del Ministero della Giustizia e della Preparazione alle Emergenze e del Ministero degli Affari Esteri.
Il DSS ha sottolineato che il lavoro del governo procede normalmente e che potrebbero essere necessarie ulteriori misure di sicurezza. Inoltre, il DSS ha istituito una squadra di crisi. L’incidente è stato denunciato ed è oggetto di indagine da parte della polizia. L’autorità norvegese per la protezione dei dati è stata informata.
https://www.dss.dep.no/aktuelle-saker/departementer-utsatt-for-dataangrep/