MITRE é violada por meio de bugs de dia zero em sistema da Ivanti

Operadores de ameaças realizaram o reconhecimento das redes da organização explorando uma de suas VPNs por meio de duas vulnerabilidades no Ivanti Connect Secure
Da Redação
22/04/2024

A MITRE Corporation, organização sem fins lucrativos que supervisiona pesquisas financiadas pelo governo dos EUA, foi violada em janeiro por hackers ligados a um Estado-nação, não revelado pela empresa, por meio de duas vulnerabilidades de dia zero em produtos da fornecedora de soluções de TI Ivanti.

A empresa explicou em uma postagem em seu blog na sexta-feira passada, 19, que operadores de ameaças realizaram o reconhecimento em suas redes explorando uma de suas VPNs por meio de duas vulnerabilidades no Ivanti Connect Secure. A Ivanti disse recentemente que as duas vulnerabilidades — CVE-2023-46805 e CVE-2024-21887 — foram usadas em ataques a pelo menos dez de seus clientes.

O CTO da MITRE, Charles Clancy, disse em um comunicado que a empresa descobriu na semana passada que sua rede colaborativa de pesquisa e desenvolvimento — onde a prototipagem e outros trabalhos estão hospedados — foi comprometida por operadores de ameaças estrangeiros ligados a um Estado-nação. A MITRE apoia uma variedade de agências governamentais americanas.

A rede afetada “fornece recursos de armazenamento, computação e rede”. A organização disse que “não há indicação de que a rede empresarial principal da MITRE ou os sistemas dos parceiros tenham sido afetados por este incidente”. “Eles comprometeram um dispositivo Ivanti Connect Secure no perímetro da rede no início de janeiro e migraram lateralmente para nossa infraestrutura VMware antes que o CVE de dia zero fosse divulgado e relatado”, disse Clancy. Segundo ele, a organização “fechou rapidamente a porta da frente” após avisos da Ivanti e da Agência de Segurança Cibernética e de Infraestrutura (CISA), “mas a porta dos fundos já estava aberta”.

Veja isso
MITRE lança estrutura de modelo de ameaça a infraestrutura crítica
MITRE lança lista dos 25 bugs de software mais perigosos

Na postagem no blog corporativo, a MITRE explicou que os hackers usaram as vulnerabilidades do Ivanti para se moverem lateralmente, assumindo o controle de uma conta de administrador comprometida. Eles usaram uma “combinação de backdoors e webshells sofisticados para manter a persistência e coletar credenciais”. A empresa disse que seguiu o conselho do governo e da Ivanti para “atualizar, substituir e fortalecer o sistema, mas não detectamos o movimento lateral em nossa infraestrutura VMware”.

A investigação da MITRE sobre o incidente está em andamento, mas ela sentiu que era importante divulgar o incidente como um exemplo de como até mesmo as organizações mais maduras em segurança cibernética podem ser violadas por operadores de ameaças sofisticados.

Embora a MITRE não tenha revelado quem esta por trás do incidente, a empresa que inicialmente descobriu as vulnerabilidades do Ivanti atribuiu a exploração a operadores de ameaças ligados ao governo chinês.

Compartilhar:

Últimas Notícias