I sistemi IT del Governo norvegese sono stati colpiti da hacker ostili, che hanno potuto violarli sfruttando una vulnerabilità zero-day in Ivanti Endpoint Manager. L'attacco è stato ufficializzato lunedì, quando le autorità hanno comunicato che l'Organizzazione per la sicurezza e i servizi dei ministeri norvegesi (il DSS) aveva scoperto possibili violazioni alle piattaforme di 12 ministeri.

Inizialmente non sono state date molte informazioni sulla dinamica dell'attacco. Esponenti governativi hanno solo indicato che erano state messe in atto una serie di misure per gestire l'attacco e che la situazione era monitorata da vicino. Il DSS aveva istituito un team di crisi e stava indagando e gestendo l'incidente con l'assistenza dell'Autorità di sicurezza nazionale norvegese (NSM) e di altre organizzazioni di sicurezza.

"Abbiamo scoperto una vulnerabilità precedentemente sconosciuta nel software di uno dei nostri fornitori. Questa vulnerabilità è stata sfruttata da un attore sconosciuto. Ora abbiamo chiuso questa vulnerabilità. È troppo presto per dire qualcosa su chi c'è dietro e sulla portata dell'attacco", aveva spiegato Erik Hope, direttore del DSS.

Il DSS ha comunque avviato una serie di misure di sicurezza. Ad esempio, i dipendenti dei 12 ministeri non avevano più accesso ai servizi condivisi del DSS via smartphone, inclusa la posta elettronica. Potevano comunque continuare a lavorare normalmente sui loro computer. Questa misura di difesa lasciava pensare che fosse coinvolta qualche piattaforma di endpoint management, e infatti oggi è stato dichiarato che la "falla" va attribuita a una vulnerabilità zero-day in Ivanti Endpoint Manager.

Sofie Nystrøm, direttore dell'Autorità di sicurezza nazionale norvegese, ha spiegato che "Questa vulnerabilità era unica ed è stata scoperta per la prima volta proprio qui in Norvegia. Se avessimo rilasciato le informazioni sulla vulnerabilità troppo presto, avremmo potuto contribuire a un uso improprio della stessa in Norvegia e nel resto del mondo".

Le autorità norvegesi hanno comunque collaborato con Ivanti e la falla è stata chiusa con un aggiornamento software, che è liberamente disponibile. Questo permette di rendere pubblica la vulnerabilità, che è stata catalogata come CVE-2023-35078. La CVE riguarda diverse versioni di Ivanti Endpoint Manager (EPMM), noto anche come MobileIron Core.