Kritiske IT-sårbarheter i sterk vekst - Enklere for trusselaktørene å lykkes med cyberoperasjoner

Simen Bakke -

Forsvaret er en storforbruker av IT-produkter. IT-systemer bestående av både maskin- og programvare har inntatt kampfly, stridsvogner og fregatter for lang tid siden. I dag er det nevnte materiellet nærmest som rullende, flyvende og seilende datasentre. Den kraftige digitaliseringen av forsvarssektoren som pågår, fører utvilsomt til bedre verktøy for Forsvarets operative personell. Samtidig fører digitaliseringen av Forsvaret, i likhet med andre virksomheter som er stor(for)brukere av IT, med seg et lass tekniske sårbarheter. Denne artikkelen vil sette fokus på en angrepsvektor som har vært i sterk vekst mot IT-systemer de siste årene, nemlig tekniske sårbarheter – ofte omtalt som CVE’er.

CVE står for Common Vulnerabilities and Exposure og er et system for kategorisering av IT-tekniske sårbarheter. Det kan for eksempel være sårbarheter som lar en angriper logge inn på systemene uten å måtte autentisere seg. Det vil si at de ikke trenger å skrive inn passord og kode for pålogging. Eller at angriperen kan sitte på utsiden av IT-systemet – for eksempel på internett – og få skadelig kode til å kjøre på en server. I tillegg finnes det sårbarheter som gjør det mulig å urettmessig tilegne seg administratorrettigheter.

En kombinasjon av de nevnte sårbarhetene, som både lar en angriper forbigå autentiseringsmekanismene og i tillegg tilegne seg administratorrettigheter og fjern-kjøre kode på serveren, er spesielt skadelige. Ettersom kombinasjonen gjør det mulig for en angriper å ta over den delen av IT-systemet som er berørt av sårbarhetene. Når departementenes IT-plattform i 2023 ble kompromittert av det som senere ble attribuert til å være «statstilknyttede aktører», så var det nettopp tre slike CVE’er som ble utnyttet av trusselaktørene. Den første sårbarheten som ble utnyttet var en sårbarhet som gjorde det mulig å forbigå autentiseringsmekanismene på Ivanti enheten til departementene.

Ivanti er produsenten av MDM-løsningen som departementene på det tidspunktet benyttet. MDM står for mobile device manager og er en løsning for å administrere mobile enheter slik at de får tilgang til tjenester og data. En av sårbarhetene som ble utnyttet på MDM-enheten var kritisk. Den hadde en CVSS-score på 10. CVSS står for Common Vulnerability Scoring System og benyttes for å rangere kritikaliteten på IT-tekniske sårbarheter, fra 0 til 10. En høy score betyr at sårbarheten er enkel å utnytte og kan få store konsekvenser. Sårbarheten som ble utnyttet mot departementene, var en slik.

En av de andre sårbarhetene som ble utnyttet mot departementene, muliggjorde fjernkjøring av kode og fikk en CVSS-score på 9.8. I tillegg utnyttet angriperne en sårbarhet som gjorde det mulig å bevege seg i filstrukturen og legge inn skadelige filer på enheten. Den sistnevnte fikk en CVSS-score på 7.2. Kombinasjonen av sårbarhetene gjorde det mulig for angriperne å ta kontroll over departementenes MDM-løsning og installere skadelig programvare, slik som webshells. Webshells er skadelig programvare som en trusselaktør installerer for å gi angriperen fjernkontroll over serveren. Dette kan benyttes for å gi en bakdør inn til serveren og dermed skjult tilgang for å utføre spionasje.

IT-produkter har iboende sårbarheter

Angrepet på departementene er bare ett av mange eksempler på hvordan avanserte cybertrusselaktører i dag utnytter tekniske IT-sårbarheter for å skaffe seg urettmessig tilgang til sentrale virksomheters IT-systemer. Det samme var tilfellet når Stortinget ble kompromittert i februar og mars 2021. Også da ble tilsvarende nulldagssårbarheter utnyttet i angrepet som ble utført av to ulike kinesiske stats-tilknyttede cyberaktører. Nulldagssårbarheter er sårbarheter som ikke er kjent, heller ikke for produsenten av programvaren. Det finnes derfor heller ingen sikkerhetsoppdatering for å «lukke» den.

Utfordringen vår når det kommer til bruk av IT, er i dag at produktene – både maskin og programvare – har en rekke iboende sårbarheter. Mange av disse tekniske sårbarhetene er ikke kjent for produsenten av produktene, herunder Ivanti som produserer løsningene som departementene benyttet seg av i sommeren 2023. Paradoksalt nok skulle Ivantis MDM-løsning være et «sikkerhetsprodukt», men ble isteden angripernes inngangsport.

Stortinget i Oslo har vært et sentralt mål for statstilknyttede cyberoperasjoner, blant annet gjennom utnyttelse av avanserte nulldagssårbarheter i 2021. Foto: Marius Kaniewski / Forsvaret

Spesielt interessant er det nettopp å se nærmere på antallet CVE’er (sårbarheter) som ble avdekket i Ivantis produkter i perioden før departementene ble «hacket» av «statstilknyttede aktører». Produktene hadde i underkant av 10 CVE’er avdekket årlig, samtlige år før 2022. I 2023 ble det derimot avdekket 34 CVE’er og 2024 ble et «toppår» med hele 86 nye CVE’er avdekket. Flere av de sistnevnte ble bekreftet utnyttet av kinesiske trusselaktører. Utnyttelsen fortsatte i 2025 og på skrivende tidspunkt er det avdekket 42 sårbarheter bare det siste året. Flere av disse er også utnyttet av kinesiske aktører. De fleste i kategorien remote code execution som gir trusselaktøren mulighet til å fjernkjøre kode på enheten og to av dem har kritisk alvorlighetsgrad (9.9 og 9.8 i CVSS).

Sårbarheter som angrepsvektor i vekst

Det totale antallet sårbarheter (CVE’er) som avdekkes hvert år, er i sterk vekst. I 2017 ble det avdekket i overkant av 17,000 CVE’er og i 2021 rundet vi 20,000 CVE’er. I 2024 var vi oppe i over 40,000 og i 2025 ligger det an til å nærme seg 50,000 registrerte CVE’er innmeldt bare det siste året. Grafen over antallet sårbarheter som kan utnyttes i IT-produkter er derfor eksponensiell. Den øker for hvert eneste år – og sårbarheter som ikke har blitt «lukket» tidligere – for eksempel via en sikkerhetsoppdatering, kan fremdeles utnyttes. Så i 2025 er det ikke bare 50,000 mulige sårbarheter som kan utnyttes hos norske virksomheter, men også sårbarheter som er oppdaget alle de forutgående årene.

Tidligere var misbruk av innloggingsdetaljer (brukernavn og passord) og phishing hyppigere benyttet som angrepsvektor, men sårbarheter i program- og maskinvare er nå den angrepsvektoren som øker mest. Dette er en naturlig utvikling blant annet som følge av bedre identitet-sikkerhet ved implementering av to- og flerfaktor autentisering. I tillegg er det verdt å merke seg at utnyttelsen ofte utføres av avanserte trusselaktører. Ikke bare av de stats-tilknyttede trusselaktørene som kompromitterer institusjoner som departementene og Stortinget, men også russiske organiserte kriminelle grupperinger som utfører løsepengevirus-angrep mot norske kommuner og private virksomheter.

Heldigvis er det ikke slik at alle CVE’er blir utnyttet. Et sted mellom 1 og 2 % av alle kjente CVE’er blir kjent utnyttet av trusselaktører. Dette betyr at i 2025 er det sannsynlig at minst 500 – 1000 nye tekniske sårbarheter vil bli benyttet til å utføre cyberoperasjoner og -angrep. Flere av disse blir utnyttet som nulldagssårbarheter som det ikke eksisterer noen sikkerhetsoppdatering for å lukke. For å sikre seg trenger norske virksomheter å etablere en helhetlig og gjennomtenkt sikkerhetsarkitektur som gjør det vanskelig for trusselaktørene å lykkes med sine operasjoner. Men så lenge det ikke er tilfellet, vil flere mål i Norge bli angrepet. Og flere IT-systemer vil trolig bli kompromittert i tiden fremover.

Forsvaret blir også berørt

I likhet med alle andre virksomheter som benytter IT, blir også Forsvaret berørt av sårbarheter som nevnes i denne artikkelen. Ikke bare i administrative systemer for å lese e-post eller behandle ugradert informasjon, men også graderte systemer blir berørt. Selv de IT-systemene som sitter i stridsvogner, kampfly og fregatter. Sårbarheter er som tidligere nevnt iboende i maskin- og programvare. Enten programvaren befinner seg i ett F-35 kampfly eller en Leopard 2A8 stridsvogn. Til tross for dette er det en rekke «grep» Forsvaret kan gjøre for å etablere et forsvarlig sikkerhetsnivå i IT-systemene som understøtter den operative kapabiliteten som kampflyet og stridsvognen representerer.

Utrulling av nye stridsvognen Leopard 2A8 hos KNDS i Tyskland. Foto: Synne Nilsson/Forsvaret

Ett eksempel er ved at IT-systemene ikke er eksponert ut mot det åpne og globale internettet for å kommunisere seg imellom. Dette reduserer de fleste trussel-aktørers mulighet til å oppnå urettmessig tilgang til systemene. Fordi det krever betydelig mer innsats å kompromittere et lukket nettverk med ingen eller få koblinger ut mot internett. Da kan trusselaktøren være avhengig av å oppsøke nettverket fysisk. For eksempel ved å bryte de fysiske sikringstiltakene som gir direkte tilgang til nettverksutstyret som Forsvaret benytter seg av. Eller å rekruttere noen på «innsiden» som har legitim tilgang.

På den måten henger også IT-sikkerhet, personellsikkerhet og fysisk sikring sammen. Det er totalen av de ulike «barrierene» som gjør det utfordrende for trusselaktøren å oppnå sin ønskede effekt. Enten dette er å få tilgang til sensitiv informasjon i administrative systemer (spionasje) eller utføre skadelige effekter på operativt materiell (sabotasje). De viktigste systemene, de som virkelig må fungere i krise- og krigstid, bør beskyttes best. Det er nettopp dette som innebærer å etablere et forsvarlig sikkerhetsnivå. Fordi vi bør kunne klare oss uten e-post når alarmen går, men F-35 flyene og Leo 2 vognene må være operative også når alle de andre IT-systemene våre går i svart.

Foto: Sigurd Tonning-Olsen / Forsvaret