A MITRE Company revelou que foi alvo de um ataque cibernético estatal que explorou duas falhas de dia zero em dispositivos Ivanti Join Safe a partir de janeiro de 2024.
A intrusão levou ao comprometimento de seu Ambiente de Experimentação, Pesquisa e Virtualização em Rede (NERVE), uma rede não classificada de pesquisa e prototipagem.
O adversário desconhecido “realizou o reconhecimento de nossas redes, explorou uma de nossas redes privadas virtuais (VPNs) por meio de duas vulnerabilidades de dia zero do Ivanti Join Safe e contornou nossa autenticação multifatorial usando sequestro de sessão”, disse Lex Crumpton, um especialista em operações cibernéticas defensivo. pesquisador da organização sem fins lucrativos, disse na semana passada.
O ataque envolveu a exploração de CVE-2023-46805 (pontuação CVSS: 8,2) e CVE-2024-21887 (pontuação CVSS: 9,1), que poderiam ser transformados em armas pelos agentes da ameaça para ignorar a autenticação e executar comandos arbitrários no sistema infectado.
Ao obter acesso inicial, os agentes da ameaça moviam-se lateralmente e violavam sua infraestrutura VMware usando uma conta de administrador comprometida, abrindo caminho para a implantação de backdoors e net shells para persistência e coleta de credenciais.
“NERVE é uma rede colaborativa não classificada que fornece recursos de armazenamento, computação e rede”, disse MITRE. “Com base em nossa investigação até o momento, não há indicação de que a rede corporativa principal do MITRE ou os sistemas de parceiros tenham sido afetados por este incidente.”
A organização disse que desde então tomou medidas para conter o incidente e que empreendeu esforços de resposta e recuperação, bem como análises forenses para identificar a extensão do comprometimento.
A exploração inicial das falhas gêmeas foi atribuída a um cluster monitorado pela empresa de segurança cibernética Volexity sob o nome UTA0178, um ator estatal provavelmente ligado à China. Desde então, vários outros grupos de hackers do nexo da China aderiram ao movimento da exploração, de acordo com a Mandiant.
“Nenhuma organização está imune a este tipo de ataque cibernético, nem mesmo aquela que se esforça para manter a mais alta segurança cibernética possível”, disse Jason Providakes, presidente e CEO da MITRE.
“Estamos divulgando este incidente em tempo hábil devido ao nosso compromisso de operar no interesse público e de defender as melhores práticas que melhorem a segurança empresarial, bem como as medidas necessárias para melhorar a atual postura de defesa cibernética da indústria”.