MITRE Revealed That Nation-State Actors Breached Its Systems Via Ivanti Zero-Days
2024/04/19 SecurityAffairs — 2024年4月に MITRE が公表したのは、その研究/試作ネットワークの1つに対して、セキュリティ侵害が生じていたことだ。同組織のセキュリティ・チームは直ちに調査を開始し、脅威アクターをログアウトさせ、サードパーティのフォレンジック・インシデント・レスポンス・チームに依頼し、社内の専門家と協力し、独自の分析を実施した。MITRE Corporation によると、この国家に支援された APT は、2024年1月に Ivanti Connect Secure の2つのゼロデイ脆弱性を連鎖させ、同社のシステムに侵入していた。
MITRE は、「2024年1月から、脅威行為者は当社のネットワークの偵察を行い、2つの Ivanti Connect Secure のゼロデイ脆弱性を介して VPN を悪用 し、セッション・ハイジャックを用いて多要素認証をすり抜けた。そこから、彼らは横方向に移動し、 侵害した管理者アカウントを使用し、当社のネットワークの VMwareインフラストラクチャに深く潜入 した。彼らは、高度なバックドアとウェブシェルを組み合わせて、永続性を維持し、認証情報を取得した」と述べている。
さらに同組織は、研究およびプロトタイピングに使用されている、NERVE (Networked Experimentation, Research, and Virtualization Environment) を探索する APT の存在も発見した。そして直ちに、NERVE をオフラインにするなどの緩和措置を開始した。現在においても、関係する情報の範囲を特定するための調査が進行中である。それと並行して、当局および、影響を受ける関係者に通知し、共同作業のための運用代替手段の回復に努めているという。
MITRE は業界のベストプラクティスに真摯に従い、ベンダーの勧告を実施し、政府のガイダンスに従って Ivanti システムを強化/更新/強化したはずだ。しかし、VMware インフラストラクチャへ向けた、横方向への動きを見落としていた。同組織によると、コアとなる企業ネットワークやパートナーのシステムは、このインシデントによる影響を受けなかったという。
MITRE の CEO である Jason Providakes は、「私たちは、公共の利益のために活動し、企業のセキュリティを強化するベストプラクティスを提唱している。それに加えて、現時点での業界のサイバー防衛態勢の改善において、要求される措置を講じることを約束するために、このインシデントを適時に開示する。脅威アクターとサイバー攻撃が、より巧妙化しているため、警戒と防御のアプローチを強化する必要がある。私たちは、これまでと同様に、この経験から学んだことを共有し、他の人々を支援するとともに、自身の実践を進化させていく」と述べている。
Ivanti の脆弱性により、MITRE が侵害されていたという、ちょっと驚きの事態が公表されました。それにしても、胎児に至らなかったようで、ひと安心です。文中のシンクから辿った Velocity のレポートによると、悪用された脆弱性は CVE-2023-46805/CVE-2024-21887 のセットのようです。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.