Ciberseguridad 360 | MITRE Corporation vulnerada por fallas de Ivanti

MITRE Corporation ha revelado que fue objeto de un ciberataque por parte de un Estado-naci�n que aprovech� dos fallos de d�a cero en los dispositivos Ivanti Connect Secure a partir de enero de 2024.

La intrusi�n llev� a comprometer su Networked Experimentation, Research, and Virtualization Environment (NERVE), una red no clasificada de investigaci�n y creaci�n de prototipos.

El adversario desconocido "realiz� un reconocimiento de nuestras redes, explot� una de nuestras redes privadas virtuales (VPN) a trav�s de dos vulnerabilidades de d�a cero de Ivanti Connect Secure y eludi� nuestra autenticaci�n multifactor mediante el secuestro de sesi�n", declar� la semana pasada Lex Crumpton, investigador de operaciones cibern�ticas defensivas de la organizaci�n sin �nimo de lucro.

El ataque supuso la explotaci�n de las vulnerabilidades CVE-2023-46805 (puntuaci�n CVSS: 8,2) y CVE-2024-21887 (puntuaci�n CVSS: 9,1), que pod�an ser utilizadas por los agresores para saltarse la autenticaci�n y ejecutar comandos arbitrarios en el sistema infectado.

Tras obtener el acceso inicial, los autores de la amenaza se desplazaron lateralmente y penetraron en su infraestructura VMware utilizando una cuenta de administrador comprometida, allanando en �ltima instancia el camino para el despliegue de backdoors y web shells para la persistencia y la recolecci�n de credenciales.

"NERVE es una red de colaboraci�n no clasificada que proporciona recursos de almacenamiento, computaci�n y redes", dijo MITRE. "Bas�ndonos en nuestra investigaci�n hasta la fecha, no hay indicios de que la red empresarial central de MITRE o los sistemas de los socios se hayan visto afectados por este incidente".

La organizaci�n dijo que desde entonces ha tomado medidas para contener el incidente, y que emprendi� esfuerzos de respuesta y recuperaci�n, as� como an�lisis forenses para identificar el alcance del compromiso.

La explotaci�n inicial de los fallos gemelos se ha atribuido a un grupo rastreado por la empresa de ciberseguridad Volexity con el nombre de UTA0178, un actor de un Estado-naci�n probablemente vinculado a China. Desde entonces, otros grupos de piratas inform�ticos vinculados a China se han unido al carro de la explotaci�n, seg�n Mandiant.

"Ninguna organizaci�n es inmune a este tipo de ciberataque, ni siquiera una que se esfuerce por mantener la mayor ciberseguridad posible", dijo Jason Providakes, presidente y CEO de MITRE.

"Estamos revelando este incidente de manera oportuna debido a nuestro compromiso de operar en el inter�s p�blico y abogar por las mejores pr�cticas que mejoren la seguridad empresarial, as� como las medidas necesarias para mejorar la postura de defensa cibern�tica actual de la industria."

Fuente: thehackernews