Intelligenza generativa dei dati

Cyber ​​Security

MITRE ATT&CKED: il nome più fidato di InfoSec cade su Ivanti Bugs

Ripubblicato da Platone
Ripubblicato da Platone

Data:

Visualizzazioni: 0

Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.

MITRE, steward dell’onnipresente glossario ATT&CK delle tecniche di attacco informatico comunemente conosciute, in precedenza non aveva riscontrato incidenti gravi per 15 anni. La serie di vittorie si è interrotta a gennaio quando, tipo tante altre organizzazioni, its Ivanti gateway devices were exploited.

La violazione ha interessato il Networked Experimentation, Research, and Virtualization Environment (NERVE), una rete collaborativa non classificata che l’organizzazione utilizza per la ricerca, lo sviluppo e la prototipazione. L'entità del danno ai NERVI (gioco di parole) è attualmente in fase di valutazione.

Dark Reading ha contattato MITRE per confermare la cronologia e i dettagli dell'attacco. MITRE non ha fornito ulteriori chiarimenti.

ATT&CK DI MITRE

Fermatemi se l'avete già sentita: a gennaio, dopo un primo periodo di ricognizione, un hacker ha sfruttato una delle reti private virtuali (VPN) dell'azienda tramite due vulnerabilità zero-day di Ivanti Connect Secure (Tecnica ATT&CK T1190, Sfruttare le applicazioni rivolte al pubblico).

Secondo un post sul blog dal Center for Threat-Informed Defense di MITRE, gli aggressori hanno aggirato l'autenticazione a più fattori (MFA) proteggendo il sistema con alcuni dirottamenti di sessione (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Hanno tentato di sfruttare diversi servizi remoti (T1021, Servizi remoti), inclusi Remote Desktop Protocol (RDP) e Secure Shell (SSH), per ottenere l'accesso a un account amministratore valido (T1078, Account validi). Con esso, hanno ruotato e "scavato in profondità" nell'infrastruttura di virtualizzazione VMware della rete.

Lì, hanno distribuito web shell (T1505.003, componente software server: Web Shell) per la persistenza e backdoor per eseguire comandi (T1059, interprete di comandi e scripting) e rubare credenziali, esfiltrando eventuali dati rubati su un server di comando e controllo (T1041, Esfiltrazione sul canale C2). Per nascondere questa attività, il gruppo ha creato le proprie istanze virtuali da eseguire all'interno dell'ambiente (T1564.006, Nascondi artefatti: Esegui istanza virtuale).

La difesa di MITRE

“L’impatto di questo attacco informatico non dovrebbe essere preso alla leggera”, afferma Darren Guccione, CEO e co-fondatore di Keeper Security, evidenziando “sia i legami esteri degli aggressori sia la capacità degli aggressori di sfruttare due gravi vulnerabilità zero-day in il loro tentativo di compromettere MITRE’S NERVE, che potrebbe potenzialmente esporre dati sensibili di ricerca e proprietà intellettuale”.

Egli postula: “Gli attori statali hanno spesso motivazioni strategiche dietro le loro operazioni informatiche, e prendere di mira un importante istituto di ricerca come MITRE, che lavora per conto del governo degli Stati Uniti, potrebbe essere solo una componente di uno sforzo più ampio”.

Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.

“MITRE ha seguito le migliori pratiche, le istruzioni dei fornitori e i consigli del governo aggiornare, sostituire e rafforzare il nostro sistema Ivanti", ha scritto l'organizzazione su Medium, "ma non abbiamo rilevato il movimento laterale nella nostra infrastruttura VMware. All'epoca credevamo di aver intrapreso tutte le azioni necessarie per mitigare la vulnerabilità, ma queste azioni erano chiaramente insufficienti. "

Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.

spot_img

L'ultima intelligenza

spot_img

Copyright @ 2024 Plato Technologies Inc.

Parla con noi

Ciao! Come posso aiutarla?