De MITRE Corporation onthulde dat zij het doelwit was van een nationale cyberaanval die vanaf januari 2024 misbruik maakte van twee zero-day-fouten in Ivanti Connect Secure-apparaten.
De inbraak leidde tot het compromitteren van zijn Networked Experimentation, Research, and Virtualization Environment (NERVE), een niet-geclassificeerd onderzoeks- en prototypingnetwerk.
De onbekende tegenstander “voerde verkenningen uit van onze netwerken, exploiteerde een van onze Virtual Private Networks (VPN's) via twee Ivanti Connect Secure zero-day kwetsbaarheden en omzeilde onze multi-factor authenticatie met behulp van sessiekaping”, zegt Lex Crumpton, een defensieve cyberoperatie. onderzoeker bij de non-profitorganisatie, zei vorige week.
De aanval omvatte de exploitatie van CVE-2023-46805 (CVSS-score: 8,2) en CVE-2024-21887 (CVSS-score: 9,1), die door bedreigingsactoren konden worden bewapend om authenticatie te omzeilen en willekeurige opdrachten uit te voeren op het geïnfecteerde systeem.
Nadat ze de eerste toegang hadden verkregen, gingen de bedreigingsactoren lateraal verder en braken de VMware-infrastructuur binnen met behulp van een gecompromitteerd beheerdersaccount, wat uiteindelijk de weg vrijmaakte voor de inzet van backdoors en webshells voor persistentie en het verzamelen van inloggegevens.
“NERVE is een niet-geclassificeerd samenwerkingsnetwerk dat opslag-, computer- en netwerkbronnen biedt”, aldus MITRE. “Op basis van ons onderzoek tot nu toe zijn er geen aanwijzingen dat het kernnetwerk van MITRE of de systemen van partners door dit incident zijn getroffen.”
De organisatie zei dat ze sindsdien stappen heeft ondernomen om het incident in te dammen, en dat ze respons- en herstelinspanningen heeft ondernomen, evenals forensische analyses om de omvang van het compromis te identificeren.
De aanvankelijke exploitatie van de dubbele tekortkomingen wordt toegeschreven aan een cluster dat wordt gevolgd door cyberbeveiligingsbedrijf Volexity onder de naam UTA0178, een natiestatelijke actor die waarschijnlijk verbonden is met China. Sindsdien hebben verschillende andere Chinese nexus-hackgroepen zich volgens Mandiant aangesloten bij de exploitatie-bandwagon.
“Geen enkele organisatie is immuun voor dit soort cyberaanvallen, zelfs niet een organisatie die ernaar streeft de hoogst mogelijke cyberbeveiliging te handhaven”, zegt Jason Providakes, president en CEO van MITRE.
“We maken dit incident tijdig bekend vanwege onze toewijding om in het algemeen belang te opereren en te pleiten voor best practices die de bedrijfsveiligheid verbeteren, evenals noodzakelijke maatregelen om de huidige cyberdefensiepositie van de industrie te verbeteren.”
