MITRE Corporation, Ocak 2024’ten itibaren Ivanti Connect Secure cihazlarındaki iki sıfır gün açığından yararlanan bir ulus devlet siber saldırısının hedefi olduğunu açıkladı.
İzinsiz giriş, sınıflandırılmamış bir araştırma ve prototip oluşturma ağı olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamının (NERVE) tehlikeye atılmasına yol açtı.
Savunma amaçlı siber operasyonlardan Lex Crumpton, bilinmeyen düşmanın “ağlarımızda keşif gerçekleştirdi, iki Ivanti Connect Secure sıfır gün güvenlik açığı aracılığıyla Sanal Özel Ağlarımızdan (VPN’ler) birini istismar etti ve oturum ele geçirmeyi kullanarak çok faktörlü kimlik doğrulamamızı atlattı” dedi. kar amacı gütmeyen kuruluştaki araştırmacı, geçen hafta şunları söyledi.
Saldırı, kimlik doğrulamayı atlamak ve virüslü sistemde rastgele komutlar çalıştırmak için tehdit aktörleri tarafından silah olarak kullanılabilen CVE-2023-46805 (CVSS puanı: 8,2) ve CVE-2024-21887’nin (CVSS puanı: 9,1) kullanılmasını içeriyordu.
Tehdit aktörleri, ilk erişimi elde ettikten sonra yana doğru hareket etti ve güvenliği ihlal edilmiş bir yönetici hesabı kullanarak VMware altyapısını ihlal etti ve sonuçta kalıcılık ve kimlik bilgileri toplama için arka kapıların ve web kabuklarının konuşlandırılmasının önünü açtı.
MITRE, “NERVE, depolama, bilgi işlem ve ağ kaynakları sağlayan, sınıflandırılmamış, işbirliğine dayalı bir ağdır” dedi. “Bugüne kadar yaptığımız araştırmalara göre, MITRE’nin çekirdek kurumsal ağının veya ortaklarının sistemlerinin bu olaydan etkilendiğine dair hiçbir gösterge yok.”
Kuruluş, o zamandan bu yana olayı kontrol altına almak için adımlar attığını ve müdahale ve kurtarma çalışmalarının yanı sıra, tehlikenin boyutunu belirlemek için adli analiz gerçekleştirdiğini söyledi.
İkiz kusurların ilk istismarı, muhtemelen Çin ile bağlantılı bir ulus devlet aktörü olan siber güvenlik şirketi Volexity tarafından UTA0178 adı altında takip edilen bir kümeye atfedildi. Mandiant’a göre, o zamandan bu yana Çin bağlantılı başka hack grupları da sömürü kervanına katıldı.
MITRE başkanı ve CEO’su Jason Providakes, “Hiçbir kuruluş bu tür siber saldırılara karşı bağışık değildir, mümkün olan en yüksek siber güvenliği sağlamaya çalışan bir kuruluş bile” dedi.
“Kamu yararına faaliyet gösterme ve kurumsal güvenliği artıran en iyi uygulamaları ve sektörün mevcut siber savunma duruşunu iyileştirmek için gerekli önlemleri savunma taahhüdümüz nedeniyle bu olayı zamanında açıklıyoruz.”