MITRE, Ivanti’nin Connect Secure VPN cihazlarındaki iki sıfır gün güvenlik açığı (CVE-2023-46805, CVE-2024-21887) aracılığıyla saldırganlar tarafından ihlal edildi.
MITRE geçen hafta sonlarında saldırganların yanal hareket ederek şirket ağının VMware altyapısını tehlikeye atmayı da başardıklarını doğruladı.
İhlal hakkında ne biliniyor?
MITRE Corporation, çeşitli ABD devlet kurumlarını destekleyen, federal olarak finanse edilen araştırma ve geliştirme merkezlerini yöneten, kar amacı gütmeyen bir Amerikan kuruluşudur.
“Şüpheli etkinlik tespit ettikten sonra [MITRE’s] Şirket Cuma günü yaptığı açıklamada, araştırma, geliştirme ve prototip oluşturmak için kullanılan işbirlikçi bir ağ olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamı’nın (NERVE) yabancı bir ulus devlet tehdit aktörü tarafından ele geçirildiği doğrulandı.” dedi.
Ekteki bir gönderide, MITRE CTO’su Charles Clancy ve baş siber güvenlik mühendisi Lex Crumpton, tehdit aktörünün Ocak 2024’ten itibaren şunları paylaştı:
- Örgütün ağlarının keşfi yapıldı
- Ivanti’nin sıfır günleri aracılığıyla kuruluşun Sanal Özel Ağlarından (VPN’ler) birinden yararlanıldı
- VMware ortamına yanal olarak geçmek için ele geçirilen VPN oturumları
- Güvenliği ihlal edilmiş hesaplardan yararlanıldı (yönetici hesabı dahil)
- Kalıcılığı korumak için web kabukları ve arka kapılar kullanıldı
- C2 altyapısını kullanarak sızdırılan veriler
- VMware ortamında hazırlama ve kalıcı sanal makineler oluşturuldu
“MITRE en iyi uygulamaları, satıcı talimatlarını ve hükümetin talimatlarını takip etti [January] Ivanti sistemimizi yükseltme, değiştirme ve güçlendirme tavsiyesinde bulunduk ancak VMware altyapımızda yanal bir hareket tespit edemedik. Clancy ve Crumpton, “O zamanlar güvenlik açığını azaltmak için gerekli tüm önlemleri aldığımıza inanıyorduk ancak bu eylemler açıkça yetersizdi” dedi.
Ne yazık ki blog gönderisi, saldırının veya keşif sürecinin çeşitli aşamalarına ilişkin açık bir zaman çizelgesi içermiyor, dolayısıyla VMware altyapısının tehlikeye atıldığını ne zaman tespit ettikleri belli değil. (Daha fazla bilgi edinmek için MITRE’ye ulaştık ve sorularımıza cevap verirlerse/cevap verdiklerinde bu yazıyı güncelleyeceğiz.)
Şirket, bir “ulus devlet tehdit aktörü” tarafından ihlal edildiklerini söylüyor. Volexity ve Mandiant daha önce aynı Ivanti Connect Secure VPN sıfır günlerinin istismarını Çinli bir saldırı grubuna bağlamıştı.
Bu ayın başlarında, Mandiant’ın olay müdahale ekipleri, saldırganların Ivanti Connect Secure açıklarından yararlanarak gerçekleştirdiği yanal hareket eylemlerine ilişkin vaka çalışmalarını paylaştı; bunların arasında VMware vCenter sunucusunun güvenliğinin aşılması ve sanal makinelerin oluşturulması da vardı.
MITRE’nin ihlal sonrasındaki eylemleri
MITRE, uzlaşmayı keşfettikten sonra NERVE ortamını çökerttiklerini, olayla ilgili (şirket içi ve üçüncü taraf uzmanlarla) bir soruşturma başlattıklarını ve yetkililere ve etkilenen taraflara bilgi verdiklerini söylüyor.
Ayrıca şu ana kadar şirketin ana kurumsal ağının veya ortaklarının sistemlerinin olaydan etkilendiğine dair bir belirti bulunmadığını da belirttiler.
Soruşturma halen devam ediyor ancak MITRE, diğerlerine yardımcı olmak amacıyla ön bulguların yanı sıra savunuculara yönelik özel tavsiyeleri de paylaşmaya karar verdi:
- Olağandışı kalıplar için VPN trafiğini izleyin
- Kullanıcı davranışındaki sapmaları arayın
- Yanal hareketi sınırlamak için ağları segmentlere ayırın
- Bilinen kötü amaçlı IP adreslerine, etki alanlarına veya dosya karmalarına yönelik tehdit istihbaratı akışlarını kullanın
- Saldırganın eylemini daha hızlı tespit etmek için aldatma ortamlarını ve bal belirteçlerini kullanın
- Güçlü erişim kontrolü, düzenli yama yönetimi, güvenlik açığı değerlendirmeleri vb. ile ağları güçlendirin.