Flavijus Piliponis â stock.ado
Mitre fue violado por un actor de amenazas de estado-nación a través de fallas de Ivanti
Un actor de amenazas de estado-nación anónimo atacó exitosamente a la organización Mitre a través de dos vulnerabilidades de día cero de Ivanti Connect Secure, CVE-2023-46805 y CVE-2024-21887, reveladas a principios de este año.
La organización Mitre, reconocida por ser un referente en conocimientos y marcos de trabajo de prácticas de ciberseguridad, reconoció el viernes pasado que sufrió una violación de datos a manos de un "actor de amenazas de estado-nación extranjero" que explotó dos vulnerabilidades de día cero de Ivanti a principios de este año.
Mitre es una empresa de investigación y desarrollo sin fines de lucro centrada en varios sectores, incluidos el aeroespacial, la inteligencia artificial, la defensa y otros. En el frente de la ciberseguridad, la empresa gestiona el sistema CVE y ha desarrollado una serie de marcos de seguridad estándar de la industria, como ATT&CK.
El 19 de abril, Mitre reveló una infracción a través de un comunicado de prensa en su sitio web y una publicación de blog en Medium. En el comunicado de prensa, la empresa dijo que confirmó un compromiso después de detectar actividad sospechosa en su red colaborativa de investigación y desarrollo NERVE, abreviatura de Networked Experimentation, Research, and Virtualization Environment.
"Tras la detección del incidente, Mitre tomó medidas inmediatas para contener el incidente, incluyendo desconectar el entorno de NERVE, y rápidamente inició una investigación con el apoyo de expertos internos y externos líderes. La investigación está en curso, incluso para determinar el alcance de la información que puede estar involucrada", se lee en el comunicado de prensa.
El presidente y director ejecutivo de Mitre, Jason Providakes, dijo en una cita compartida junto con el comunicado de prensa que la compañía decidió revelar el incidente de manera oportuna "debido a nuestro compromiso de operar en el interés público y defender las mejores prácticas que mejoren también la seguridad empresarial". medidas necesarias para mejorar la postura actual de ciberdefensa de la industria".
Según la publicación de Medium escrita por el ingeniero principal de ciberseguridad de Mitre, Lex Crumpton, y el CTO, Charles Clancy, los actores de amenazas obtuvieron acceso a partir de enero a través de dos vulnerabilidades de día cero de Ivanti Connect Secure: una falla de omisión de autenticación, rastreada como CVE-2023-46805, y una vulnerabilidad de inyección de comandos, rastreada como CVE-2024-21887. Las vulnerabilidades fueron explotadas ampliamente a principios de este año y, como resultado, cientos de organizaciones se vieron comprometidas, incluida CISA.
"A partir de enero de 2024, un actor de amenazas realizó un reconocimiento de nuestras redes, explotó una de nuestras redes privadas virtuales (VPN) a través de dos vulnerabilidades de día cero de Ivanti Connect Secure y eludió nuestra autenticación multifactor mediante el secuestro de sesión", dice la publicación. "A partir de ahí, se movieron lateralmente y profundizaron en la infraestructura VMware de nuestra red utilizando una cuenta de administrador comprometida. Emplearon una combinación de puertas traseras sofisticadas y webshells para mantener la persistencia y recopilar credenciales".
Crumpton y Clancy dijeron que la compañía respondió a las revelaciones iniciales de las vulnerabilidades de Ivanti Connect Secure en enero.
"Mitre siguió las mejores prácticas, las instrucciones de los proveedores y los consejos del gobierno para actualizar, reemplazar y reforzar nuestro sistema Ivanti, pero no detectamos el movimiento lateral en nuestra infraestructura VMware", escribieron los autores. "En ese momento creímos que habíamos tomado todas las acciones necesarias para mitigar la vulnerabilidad, pero estas acciones fueron claramente insuficientes".
Aunque Mitre no nombró al actor de amenaza específico detrás del ataque, Clancy hizo referencia a "un actor de amenaza sofisticado de un estado nación" en un mensaje de video adjunto al comunicado de prensa. En él, dijo que el actor de amenazas responsable comprometió a "más de 1.700 organizaciones", incluida Mitre.
Esto sugiere que el actor de la amenaza era el actor del nexo con China UNC5221, un adversario del estado-nación detallado en la investigación de Mandiant publicada en enero.
TechTarget Editorial pidió una aclaración sobre este punto, pero un portavoz de Mitre se negó a proporcionar detalles adicionales.
TechTarget Editorial también contactó a Ivanti para solicitar sus comentarios sobre esta noticia.
Sobre el autor: Alexander Culafi es redactor senior de noticias sobre seguridad de la información y presentador de podcasts para TechTarget Editorial.