MITRE Corporation reveló que fue el objetivo de un ciberataque de un estado-nación que aprovechó dos fallas de día cero en los dispositivos Ivanti Connect Secure a partir de enero de 2024.
La intrusión llevó al compromiso de su entorno de virtualización, investigación y experimentación en red (NERVE), una red de investigación y creación de prototipos no clasificada.
El adversario desconocido «realizó un reconocimiento de nuestras redes, explotó una de nuestras redes privadas virtuales (VPN) a través de dos vulnerabilidades de día cero de Ivanti Connect Secure y eludió nuestra autenticación multifactor mediante el secuestro de sesión», dijo Lex Crumpton, un experto en operaciones cibernéticas defensivas. investigador de la organización sin fines de lucro, dijo la semana pasada.
El ataque implicó la explotación de CVE-2023-46805 (puntuación CVSS: 8,2) y CVE-2024-21887 (puntuación CVSS: 9,1), que los actores de amenazas podrían utilizar como arma para eludir la autenticación y ejecutar comandos arbitrarios en el sistema infectado.
Al obtener acceso inicial, los actores de amenazas se movieron lateralmente y violaron su infraestructura VMware utilizando una cuenta de administrador comprometida, lo que finalmente allanó el camino para la implementación de puertas traseras y shells web para la persistencia y la recolección de credenciales.
«NERVE es una red colaborativa no clasificada que proporciona recursos de almacenamiento, computación y redes», dijo MITRE . «Según nuestra investigación hasta la fecha, no hay indicios de que la red empresarial central de MITRE o los sistemas de los socios se hayan visto afectados por este incidente».
La organización dijo que desde entonces ha tomado medidas para contener el incidente y que llevó a cabo esfuerzos de respuesta y recuperación, así como análisis forenses para identificar el alcance del compromiso.
La explotación inicial de las fallas gemelas se ha atribuido a un grupo rastreado por la empresa de ciberseguridad Volexity con el nombre UTA0178, un actor-estado-nación probablemente vinculado a China. Desde entonces, varios otros grupos de hackers del nexo con China se han sumado al tren de la explotación , según Mandiant.
«Ninguna organización es inmune a este tipo de ciberataque, ni siquiera aquella que se esfuerza por mantener la mayor ciberseguridad posible», afirmó Jason Providakes, presidente y director ejecutivo de MITRE.
«Estamos divulgando este incidente de manera oportuna debido a nuestro compromiso de operar en el interés público y defender las mejores prácticas que mejoren la seguridad empresarial, así como las medidas necesarias para mejorar la postura actual de ciberdefensa de la industria».
Fuente y redacción: thehackernews.com
