Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéRésolu

Violation du gouvernement norvégien via une faille zero-day Ivanti

Des attaquants ont exploité une faille zero-day d'Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVSS 10.0) pour compromettre une plateforme TIC partagée par 12 ministères norvégiens, l'exploitation remontant à au moins avril 2023.

Victime
Gouvernement norvégien (12 ministères)
SecteurGouvernement
PaysNorvège
CVECVE-2023-35078CVE-2023-35081

Le 24 juillet 2023, les autorités norvégiennes ont révélé que des attaquants avaient exploité une vulnérabilité zero-day dans Ivanti Endpoint Manager Mobile (EPMM) — un logiciel de gestion des appareils mobiles — pour compromettre une plateforme TIC partagée desservant 12 ministères norvégiens. Ce fut l'une des intrusions les plus importantes dans l'infrastructure du gouvernement central de l'histoire de la Norvège et un déclencheur précoce d'une vague d'exploitation d'Ivanti qui allait frapper des gouvernements du monde entier.

Ce qui s'est passé

La faille, CVE-2023-35078, est une vulnérabilité de contournement d'authentification permettant un accès distant et non authentifié à certains chemins d'API dans Ivanti EPMM (anciennement MobileIron Core). Elle porte le score CVSS maximal de 10.0. Un attaquant atteignant ces chemins pouvait lire des informations personnelles identifiables — noms, numéros de téléphone, détails des appareils — des utilisateurs gérés, et pouvait créer des comptes administratifs pour approfondir son contrôle du système.

La plateforme compromise, exploitée par l'Organisation norvégienne de sécurité et de services gouvernementaux (DSS), fournissait des services informatiques à une douzaine de ministères. Les autorités ont souligné que les organes les plus sensibles — le cabinet du Premier ministre, le ministère de la Défense, le ministère de la Justice et le ministère des Affaires étrangères — fonctionnaient sur une infrastructure distincte et n'ont pas été affectés.

Une analyse forensique ultérieure a indiqué que la faille zero-day avait été exploitée contre la plateforme norvégienne depuis au moins avril 2023, donnant aux attaquants plusieurs mois d'accès non détecté avant que la faille ne soit publiquement connue.

La seconde faille zero-day

Le 2 août 2023, Ivanti a confirmé qu'une seconde faille zero-day, CVE-2023-35081, avait été enchaînée avec CVE-2023-35078 dans l'attaque norvégienne. La combinaison a permis aux attaquants de contourner les restrictions d'authentification et de contrôle d'accès, puis d'écrire des fichiers malveillants (tels que des web shells) sur l'appliance. Les deux failles ont été ajoutées au catalogue des vulnérabilités activement exploitées de la CISA à mesure que le balayage et l'exploitation opportunistes se répandaient à l'échelle mondiale.

Impact

  • Les réseaux de communication de 12 ministères ont été affectés, perturbant l'accès des employés aux services mobiles et à la messagerie.
  • Les autorités de sécurité nationale norvégiennes ont traité la violation comme une compromission grave de l'infrastructure gouvernementale et ont coordonné des correctifs d'urgence sur les systèmes affectés.
  • Aucune attribution publique à un État-nation spécifique n'a été confirmée, bien que le ciblage du gouvernement central et la durée de plusieurs mois aient pointé vers un acteur avancé.

Pourquoi c'est important

La violation du gouvernement norvégien a été un exemple déterminant du risque concentré dans les produits de sécurité et de gestion des appareils : les outils mêmes censés protéger et administrer les parcs gouvernementaux sont devenus le point unique de défaillance catastrophique. Elle a contribué à déclencher des directives d'urgence mondiales sur les produits Ivanti et a renforcé une dure leçon — les appliances de gestion exposées à Internet doivent être corrigées sur un pied de guerre zero-day, car un seul contournement d'authentification peut exposer l'ensemble du parc mobile d'un gouvernement.

Chronologie

  1. Première exploitation observée de la faille zero-day Ivanti EPMM contre la plateforme du gouvernement norvégien, selon une analyse forensique ultérieure.

  2. Les autorités norvégiennes révèlent qu'une faille zero-day d'Ivanti Endpoint Manager Mobile a été utilisée pour compromettre une plateforme TIC partagée desservant 12 ministères.

  3. Ivanti et la CISA publient des détails et un correctif pour CVE-2023-35078, une faille de contournement d'authentification notée CVSS 10.0.

  4. Ivanti confirme qu'une seconde faille zero-day, CVE-2023-35081, a été enchaînée avec CVE-2023-35078 dans l'attaque contre le gouvernement norvégien.

  5. La CISA ajoute les deux vulnérabilités à son catalogue des vulnérabilités activement exploitées dans un contexte de balayage et d'exploitation généralisés.

Sources

  1. therecord.mediahttps://therecord.media/hackers-use-ivanti-zero-day-to-attack-norway-ministries
  2. securityweek.comhttps://www.securityweek.com/ivanti-zero-day-vulnerability-exploited-in-attack-on-norwegian-government/
  3. securityweek.comhttps://www.securityweek.com/ivanti-zero-day-exploited-by-apt-since-at-least-april-in-norwegian-government-attack/
  4. helpnetsecurity.comhttps://www.helpnetsecurity.com/2023/07/25/cve-2023-35078/
  5. unit42.paloaltonetworks.comhttps://unit42.paloaltonetworks.com/threat-brief-cve-2023-35078/

Incidents liés

Exploitation de vulnérabilitéRésolu

Violation de l'appliance Accellion FTA de la Banque de réserve de Nouvelle-Zélande

Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.

Victim
Reserve Bank of New Zealand (Te Pūtea Matua)
Loss
$2.4M