La Corporación MITRE fue comprometida por hackers respaldados por un estado-nación aprovechando las vulnerabilidades de Ivanti

Luis Quiles

abril 24, 2024

Seguridad de la red, Seguridad Cibernética

La Corporación MITRE reveló que fue el objetivo de un ciberataque respaldado por un estado-nación que explotó dos fallas de día cero en los dispositivos Ivanti Connect Secure a partir de enero de 2024.

La intrusión llevó a comprometer su Entorno de Experimentación, Investigación y Virtualización en Red (NERVE), una red de investigación y prototipado no clasificada.

El adversario desconocido «realizó reconocimiento de nuestras redes, explotó una de nuestras Redes Privadas Virtuales (VPNs) a través de dos vulnerabilidades de día cero de Ivanti Connect Secure, y burló nuestra autenticación multifactorial utilizando secuestro de sesión», dijo Lex Crumpton, un investigador de operaciones cibernéticas defensivas en la organización sin fines de lucro, la semana pasada.

El ataque implicó la explotación de CVE-2023-46805 (puntuación CVSS: 8.2) y CVE-2024-21887 (puntuación CVSS: 9.1), que podrían ser utilizados por actores de amenazas para evadir la autenticación y ejecutar comandos arbitrarios en el sistema infectado.

Tras obtener acceso inicial, los actores de amenazas se movieron lateralmente y violaron su infraestructura de VMware utilizando una cuenta de administrador comprometida, abriendo finalmente el camino para el despliegue de puertas traseras y shells web para persistencia y recolección de credenciales.

«NERVE es una red colaborativa no clasificada que proporciona recursos de almacenamiento, computación y redes», dijo MITRE. «Según nuestra investigación hasta la fecha, no hay indicación de que la red empresarial central de MITRE o los sistemas de los socios se hayan visto afectados por este incidente.»

La organización dijo que desde entonces ha tomado medidas para contener el incidente y que emprendió esfuerzos de respuesta y recuperación, así como análisis forense para identificar el alcance del compromiso.

La explotación inicial de las dos fallas ha sido atribuida a un grupo rastreado por la empresa de ciberseguridad Volexity bajo el nombre UTA0178, un actor estatal probablemente vinculado a China. Desde entonces, varios otros grupos de piratería con nexos chinos se han unido a la explotación, según Mandiant.

Nam quam nunc, blandit vel, luctus pulvinar, hendrerit id, lorem. Maecenas nec odio et ante tincidunt tempus. Donec vitae sapien ut libero venenatis faucibus. Nullam quis ante. Etiam sit amet orci eget eros faucibus tincidunt. Duis leo. Sed fringilla mauris sit amet nibh. Donec sodales sagittis magna. Sed consequat, leo eget bibendum sodales, augue velit cursus nunc. Donec pede justo fringilla.

«Ninguna organización es inmune a este tipo de ciberataque, ni siquiera una que se esfuerza por mantener la más alta ciberseguridad posible», dijo Jason Providakes, presidente y CEO de MITRE.

«Estamos revelando este incidente de manera oportuna debido a nuestro compromiso de operar en el interés público y abogar por las mejores prácticas que mejoren la seguridad empresarial, así como las medidas necesarias para mejorar la postura actual de defensa cibernética de la industria».

Tags :