A MITRE Corporation, uma organização sem fins lucrativos que supervisiona pesquisas financiadas pelo governo federal americano, foi invadida por hackers de estados-nação em janeiro por meio de duas vulnerabilidades zero-day em produtos da Ivanti.
A empresa explicou em uma postagem de blog na sexta-feira que hackers não identificados realizaram reconhecimento em suas redes explorando uma de suas VPNs por meio de duas vulnerabilidades no Ivanti Connect Secure.
Na época, Ivanti disse que as duas vulnerabilidades – CVE-2023-46805 e CVE-2024-21887 – foram usadas em ataques a pelo menos 10 de seus clientes.
O CTO da MITRE, Charles Clancy, disse em um comunicado que a empresa descobriu na semana passada que sua rede colaborativa não classificada de pesquisa e desenvolvimento onde a prototipagem e outros trabalhos estão hospedados foi comprometida por hackers ligados a um Estado-nação. O trabalho do MITRE apoia uma variedade de agências governamentais.
A rede afetada “fornece recursos de armazenamento, computação e rede”. A organização disse que “não há indicação de que a principal rede empresarial do MITRE ou os sistemas dos parceiros tenham sido afetados por este incidente”.
“Eles comprometeram um dispositivo Ivanti Connect Secure no perímetro da rede no início de janeiro e migraram lateralmente para nossa infraestrutura VMware antes que o CVE de zero-day fosse divulgado e relatado”, disse Clancy.
A organização “fechou rapidamente a porta da frente” após os alertas da Ivanti e da Agência de Segurança Cibernética e de Infraestrutura (CISA), “mas a porta dos fundos já estava aberta”.
Na postagem do blog, MITRE explicou que os hackers usaram as vulnerabilidades do Ivanti para se moverem lateralmente, assumindo o controle de uma conta de administrador comprometida. Eles usaram uma “combinação de backdoors e webshells sofisticados para manter a persistência e coletar credenciais”.
A organização disse que seguiu o conselho do governo americano e da Ivanti para “atualizar, substituir e fortalecer nosso sistema Ivanti, mas não detectamos o movimento lateral em nossa infraestrutura VMware”.
“Acreditávamos ter tomado todas as ações necessárias para mitigar a vulnerabilidade, mas essas ações foram claramente insuficientes”, afirmaram.
A investigação da organização sobre o incidente está em andamento, mas eles sentiram que era importante divulgar o incidente como um exemplo de como até mesmo as organizações cibernéticas mais maduras podem ser invadidas por hackers sofisticados.
O MITRE disse que iria se aprofundar nos detalhes técnicos do ataque em outra atualização nas próximas semanas, mas forneceu uma lista de recomendações para organizações com base em sua experiência.
Em um blog de resposta a incidentes do Google centrado nas duas vulnerabilidades, a empresa descreveu um incidente anônimo em que os hackers usaram os bugs do Ivanti para se movimentar lateralmente para um servidor VMware vCenter.
O MITRE compartilhou o blog do Google em seu documento, mas não respondeu às perguntas sobre se o incidente era o mesmo que eles descreveram.
Embora o MITRE não tenha dito quem estava por trás do incidente, a empresa que inicialmente descobriu as vulnerabilidades do Ivanti atribuiu a exploração a um hackers em nível de estado-nação chinês.
Os produtos Ivanti tornaram-se uma via privilegiada para hackers se infiltrarem em vários governos e organizações, incluindo até mesmo a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
Via - The Record
Comentarios