MITRE взломали из-за уязвимости нулевого дня в Ivanti

В январе 2024 года организация MITRE, некоммерческая корпорация, курирующая исследования, финансируемые федеральным бюджетом США, подверглась серьезному взлому. Этот инцидент был обусловлен уязвимостями нулевого дня в продуктах ИТ-поставщика Ivanti.

Хакеры провели разведывательные действия в сети MITRE, используя одну из VPN-сетей и две уязвимости в Ivanti Connect Secure. Известно, что по меньшей мере десять клиентов Ivanti также пострадали от этих кибератак. Несмотря на то, что MITRE открыто не сообщила, кто стоит за инцидентом, вответственность за эксплуатацию этих уязвимостей приписывают китайським хакерам.

Злоумышленники скомпрометировали устройство Ivanti Connect Secure в периметре сети и осуществили боковое перемещение в инфраструктуру VMware MITRE до того, как было обнаружено и сообщено об уязвимостях нулевого дня. Организация оперативно «закрыла входную дверь» по рекомендациям Ivanti и Агентства по кибербезопасности и безопасности инфраструктуры (CISA), но уже было слишком поздно.

В своем блоге MITRE объяснила, что хакеры использовали уязвимости Ivanti для дальнейшего продвижения в сети, захватив скомпрометированную учетную запись администратора. Они применили комбинацию сложных бэкдоров и веб-оболочек для обеспечения устойчивости и получения учетных данных.

Расследование инцидента все еще продолжается, и MITRE расценивает его как показательную историю. Ведь даже организации с высоким уровнем киберзащиты могут стать жертвами сложных атак.

Джейсон Провидейкс, президент и главный исполнительный директор MITRE, отметил: «Ни одна организация не застрахована от таких типов кибератак, даже та, которая стремится поддерживать высокий уровень кибербезопасности». Он подчеркнул важность своевременного информирования об инциденте для действий в интересах общества и продвижения лучших практик.

На основе этого опыта MITRE предлагает следующие шаги для повышения уровня кибербезопасности:

• Соблюдение принципа «безопасности по замыслу». Аппаратное и программное обеспечение должно быть защищенным и безопасным сразу после выпуска.
• Развитие безопасных цепочек поставок. Следует использовать возможности экосистемы программной спецификации материалов для лучшего понимания потенциальных угроз, которые могут возникнуть в верхних уровнях программных систем.
• Внедрение архитектуры Zero Trust. Применение не только многофакторной аутентификации, но и микросегментации сетей для дополнительного уровня защиты.
• Взаимодействие со злоумышленниками как рутинная часть киберзащиты. Регулярное взаимодействие с потенциальными противниками является ключевым не только для выявления, но и для сдерживания новых угроз.

Внедрение этих стратегий позволит предприятиям шаг за шагом улучшать состояние кибербезопасности на глобальном уровне.

Обмен опытом и демонстрация таких кейсов является важным аспектом для глобальной кибербезопасности, поскольку чем больше мы знаем об угрозах, тем легче бороться с ними.