A MITRE Corporation, uma organização sem fins lucrativos que administra pesquisas patrocinadas pelo governo dos EUA, sofreu um ataque em janeiro por hackers ligados a um Estado-nação, que não foi identificado pela corporação, por meio de duas vulnerabilidades zero-day em produtos da empresa de TI Ivanti.
Em um comunicado em seu blog na última sexta-feira, dia 19, a empresa detalhou que os atacantes exploraram uma de suas VPNs utilizando duas vulnerabilidades no Ivanti Connect Secure para realizar um reconhecimento em suas redes.
A Ivanti recentemente informou que as duas vulnerabilidades — CVE-2023-46805 e CVE-2024-21887 — foram empregadas em ataques contra pelo menos dez de seus clientes.
O CTO da MITRE, Charles Clancy, revelou que a rede de pesquisa e desenvolvimento colaborativo da empresa, que serve de base para prototipagem e outros projetos, foi comprometida por operadores de ameaças estrangeiros associados a um Estado-nação.
A MITRE presta serviços a diversas agências do governo americano.
A rede comprometida é responsável pelo fornecimento de recursos de armazenamento, processamento e rede.
A organização afirmou que "não há evidências de que a rede empresarial principal da MITRE ou os sistemas de parceiros tenham sido impactados por esse incidente".
"Os adversários comprometeram um dispositivo Ivanti Connect Secure na borda de nossa rede no início de janeiro e progrediram lateralmente para nossa infraestrutura VMware antes que o CVE zero-day fosse divulgado e relatado", declarou Clancy.
De acordo com ele, a organização agiu rapidamente para "fechar a porta da frente" após alertas da Ivanti e da Agência de Segurança Cibernética e de Infraestrutura (CISA), "mas a backdoor já estava escancarada".
Em uma postagem de blog, a MITRE explicou que os invasores exploraram as vulnerabilidades do Ivanti para navegar lateralmente pela rede, tomando o controle de uma conta de administrador que havia sido comprometida.
Eles empregaram “uma combinação de backdoors e webshells sofisticados para garantir persistência e coletar credenciais”.
A corporação mencionou que seguiu as recomendações de update, substituição e reforço de sistema fornecidas pelo governo e pela Ivanti, mas falhou em detectar o movimento lateral em sua infraestrutura VMware.
A investigação sobre o incidente pela MITRE ainda está em curso, mas a empresa sentiu a necessidade de compartilhar o ocorrido como um exemplo de como até as organizações mais avançadas em segurança cibernética podem ser vulneráveis a invasores habilidosos.
Embora a MITRE não tenha especificado os responsáveis pelo incidente, a empresa que inicialmente detectou as vulnerabilidades no Ivanti atribuiu a exploração a operadores de ameaças associados ao governo chinês.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...