MITRE Corporation اعلام کرده که هکرهای دولتی ، در ژانویه 2024 با زنجیره کردن دو آسیب پذیری زیرودی در Ivanti VPN ، تونستن به این شرکت نفوذ کنن.
حادثه رو هم ازطریق فعالیت مشکوک در بخش Networked Experimentation, Research, and Virtualization Environment (NERVE) که یک محیط مشارکتی طبقه بندی نشده برای تحقیق و توسعه هستش، کشف کردن.
پس از کشف نقض، MITRE به طرف های آسیب دیده اطلاع رسانی کرده و به مقامات ذیربط اطلاع داده و در حال حاضر برای بازیابی “گزینههای عملیاتی” تلاش میکنه.
براساس شواهدی که تا الان بدست آوردن، این نقض شبکه اصلی یا سیستم های شرکای MITRE رو تحت تاثیر قرار نداده.
Jason Providakes مدیرعامل MITRE گفته که هیچ سازمانی از این حملات مصون نیست، حتی سازمانهایی که برای حفظ بالاترین سطح امنیتی تلاش میکنن.
ایشون در ادامه گفتن که : ما این رخداد رو به موقع افشا کردیم، چون متعهد به فعالیت در راستای منافع عمومی هستیم و همچنین ترویج بهترین شیوه هایی که امنیت سازمانی رو ارتقا بده و در عین حال، اقدامات ضروری که منجر به بهبود وضعیت فعلی صنعت دفاع سایبری بشه.
Charles Clancy مدیر ارشد فنی MITRE و Lex Crumpton مهندس امنیت سایبری اعلام کردن که هکرها از طریق زنجیره کردن دو زیرودی در Ivanti Connect Secure تونستن به شبکه خصوصی MITRE دسترسی پیدا کنن.
همچنین با استفاده از Session Hijacking تونستن MFA رو دور بزنن و از طریق این اکانت مدیر دزدیده شده، اقدام به حرکات جانبی در زیرساخت VMware شبکه نقض شده ، بکنن.
در این حمله هکرها از یسری وب شل و بکدورهای پیچیده برای حفط دسترسی به سیستم های هک شده و جمع آوری اعتبارنامه ها استفاده کردن.
از اوایل دسامبر ، دو آسیب پذیری CVE-2023-46805 و CVE-2024-21887 ، توسط هکرها برای استقرار چندین خانواده بدافزاری با هدف جاسوسی مورد استفاده قرار گرفته.
- آسیب پذیری CVE-2023-46805 : آسیب پذیری از نوع دور زدن احرازهویت هستش و در مولفه ی وب Ivanti ICS و Ivanti Policy Secure رخ میده . مهاجم راه دور با استفاده از این آسیب پذیری میتونه کنترل های دسترسی رو دور بزنه و به منابع محدود دسترسی پیدا کنه. آسیب پذیری امتیاز 8.2 و شدت بالا داره.
- آسیب پذیری CVE-2024-21887 : آسیب پذیری از نوع Command Injection هستش و در مولفه وب Ivanti Connect Secure و Ivanti Policy Secure رخ میده. مهاجمی که بعنوان مدیر احرازهویت کرده، میتونه دستورات دلخواه رو اجرا کنه. امتیاز 9.1 و شدت بحرانی داره.
Mandiant این حملات رو به UNC5221 نسبت داده اما Volexity این حملات رو به بازیگر تحت حمایت چین، UTA0178 نسب داده.
Volexity گفته که هکرهای چینی تونستن از طریق این آسیب پذیری ها، 2100 دستگاه Ivanti رو نقض و با وب شل GIFTEDVISITOR آلوده کنن و اعتبارنامه ها و اطلاعات جلسات رو از این شبکه های هک شده، جمع آوری و به سرقت ببرن. جاهایی هم که هک کردن از کسب و کارهای کوچیک گرفته تا سازمانهای بزرگ در سرتاسر جهان که برخیشون در لیست Fortune 500 هستن.
به دلیل اکسپلویت انبوه، CISA در 19 ژانویه دستورالعمل اضطراری رو منتشر کرد و به آژانس های فدرال دستور داد تا فورا این آسیب پذیری رو در شبکه اشون اصلاح کنن.
چند هفته پیش هم ، بنیاد OWASP اعلام کرده بود که به دلیل پیکربندی نادرست سرور ویکیشون، هکرها تونستن به بخشی از شبکه ی این بنیاد که حاوی رزومه های اعضاء بود دسترسی پیدا کنن.