Korporacija MITRE otkrila je da je cilj sajber napada nacionalne države koji je iskoristio dvije zero-day mane u Ivanti Connect Secure uređajima počevši od januara 2024. godine.
Upad je doveo do kompromisa njegove Mrežne eksperimentalne, istraživačke i virtualizacijske zaštite (NERVE), neklasifikovane mreže istraživanja i prototipiranja.
Nepoznati protivnik “izvršio izviđanje naših mreža, iskoristio jednu od naših virtualnih privatnih mreža (VPN) kroz dvije Ivanti Connect Sigurne zero-day ranjivosti, i preskočio je našu višefaktorsku provjeru autentičnosti pomoću otmice sesije “, Lex Crumpton, istraživač odbrambenih sajber operacija je rekao prošle sedmice.
Napad je podrazumijevao eksploataciju CVE-2023-46805 (CVSS rezultat: 8.2) i CVE-2024-21887 (CVSS rezultat: 9.1), koje bi hakeri mogli naoružati da zaobiđu autentifikaciju i pokrenu proizvoljne naredbe na zaraženom sistemu.
Nakon što su stekli početni pristup, hakeri su se kretali lateralno i probili svoju VMware infrastrukturu koristeći kompromitovani administratorski nalog, na kraju, utrljavajući put za raspoređivanje backdoor-a i web shell-a za postojanost i credential harvesting.
“NERVE je neklsaifikovana kolaborativna mreža koja pruža resurse za skaldištenje, computing i umrežavanje”, MITRE je rekao. “Na osnovu naše dosadašnje istrage, nema naznaka da je ovaj incident uticao na osnovnu mrežu preduzeća ili sisteme partnera MITRE.”
Organizacija je rekla da je od tada preduzela korake za zadržavanje incidenta i da je preduzela napore za odgovor i oporavak, kao i forenzičku analizu kako bi identifikovala opseg kompromisa.
Prvobitno iskorištavanje dvostruke greške pripisano je klasteru koji je pratila kompanija za kibernetičku sigurnost Volexity pod imenom UTA0178, haker nacionalne države koji je vjerovatno povezan s Kinom. Od tada se još nekoliko grupa za hakovanje iz Kine pridružilo ovom napadu, prema Mandiantu.
“Nijedna organizacija nije imuna od ove vrste sajber napada, čak ni ona koja nastoji održati najvišu moguću sajber sigurnost”, rekao je Jason Providakes, predsjednik i izvršni direktor MITRE-a.
“Ovaj incident objavljujemo pravovremeno zbog naše posvećenosti radu u javnom interesu i zalaganju za najbolje prakse koje poboljšavaju sigurnost preduzeća, kao i potrebne mjere za poboljšanje trenutnog držanja sajber obrane u industriji.”
Izvor: The Hacker News