Tập đoàn MITRE tiết lộ rằng họ là mục tiêu của một cuộc tấn công mạng quốc gia-nhà nước khai thác hai lỗ hổng zero-day trong các thiết bị Ivanti Connect Secure bắt đầu từ tháng 1/2024.
Sự xâm nhập đã dẫn đến sự thỏa hiệp của Môi trường thử nghiệm, nghiên cứu và ảo hóa nối mạng (NERVE), một mạng nghiên cứu và tạo mẫu chưa được phân loại.
Kẻ thù vô danh "đã thực hiện trinh sát các mạng của chúng tôi, khai thác một trong các Mạng riêng ảo (VPN) của chúng tôi thông qua hai lỗ hổng zero-day Ivanti Connect Secure và vượt qua xác thực đa yếu tố của chúng tôi bằng cách sử dụng chiếm quyền điều khiển phiên", Lex Crumpton, một nhà nghiên cứu hoạt động mạng phòng thủ tại tổ chức phi lợi nhuận, cho biết tuần trước.
Cuộc tấn công kéo theo việc khai thác CVE-2023-46805 (điểm CVSS: 8.2) và CVE-2024-21887 (điểm CVSS: 9.1), có thể được vũ khí hóa bởi các tác nhân đe dọa để vượt qua xác thực và chạy các lệnh tùy ý trên hệ thống bị nhiễm.
Khi có được quyền truy cập ban đầu, các tác nhân đe dọa đã di chuyển ngang và vi phạm cơ sở hạ tầng VMware của nó bằng cách sử dụng tài khoản quản trị viên bị xâm nhập, cuối cùng mở đường cho việc triển khai các cửa hậu và vỏ web để tồn tại và thu thập thông tin xác thực.
"NERVE là một mạng lưới hợp tác chưa được phân loại cung cấp tài nguyên lưu trữ, tính toán và mạng", MITRE nói. "Dựa trên cuộc điều tra của chúng tôi cho đến nay, không có dấu hiệu nào cho thấy mạng doanh nghiệp cốt lõi của MITRE hoặc hệ thống của các đối tác bị ảnh hưởng bởi sự cố này."
Tổ chức này cho biết họ đã thực hiện các bước để ngăn chặn vụ việc và họ đã thực hiện các nỗ lực ứng phó và phục hồi cũng như phân tích pháp y để xác định mức độ thỏa hiệp.
Việc khai thác ban đầu hai lỗ hổng này được cho là do một cụm được theo dõi bởi công ty an ninh mạng Volexity dưới tên UTA0178, một tác nhân quốc gia-nhà nước có khả năng liên kết với Trung Quốc. Kể từ đó, một số nhóm hack khác của Trung Quốc đã tham gia vào nhóm khai thác, theo Mandiant.
"Không có tổ chức nào miễn nhiễm với loại tấn công mạng này, ngay cả một tổ chức cố gắng duy trì an ninh mạng cao nhất có thể", Jason Providakes, chủ tịch và CEO của MITRE, cho biết.
"Chúng tôi đang tiết lộ sự cố này một cách kịp thời vì cam kết của chúng tôi hoạt động vì lợi ích công cộng và ủng hộ các thực tiễn tốt nhất nhằm tăng cường bảo mật doanh nghiệp cũng như các biện pháp cần thiết để cải thiện vị thế phòng thủ mạng hiện tại của ngành."