MITRE ATT&CKED: El nombre más confiable de InfoSec recae en los errores de Ivanti

Los piratas informáticos estatales chinos han utilizado dispositivos vulnerables de Ivanti para obtener acceso "profundo" durante tres meses a una de las redes no clasificadas de MITRE Corp.

MITRE, administrador del omnipresente glosario ATT&CK de técnicas de ciberataque comúnmente conocidas, pasó anteriormente 15 años sin un incidente importante. La racha se rompió en enero cuando, como tantas otras organizaciones, sus dispositivos de puerta de enlace Ivanti fueron explotados por el UNC5221 (también conocido como UTA0178) respaldado por el estado chino.

La infracción afectó al entorno de virtualización, investigación y experimentación en red (NERVE), una red colaborativa no clasificada que la organización utiliza para investigación, desarrollo y creación de prototipos. Actualmente se está evaluando el alcance del daño a los NERVIOS (juego de palabras).

Dark Reading se acercó a MITRE para confirmar la línea de tiempo y los detalles del ataque. MITRE no brindó mayores aclaraciones.

ATT&CK DE MITRE

Deténganme si han escuchado esto antes: en enero, después de un período de reconocimiento inicial, un actor de amenazas explotó una de las redes privadas virtuales (VPN) de la compañía a través de dos vulnerabilidades de día cero de Ivanti Connect Secure (Técnica ATT&CK T1190, Explotación de aplicaciones públicas).

De acuerdo a una del blog del Centro de Defensa Informada contra Amenazas de MITRE, los atacantes eludieron la autenticación multifactor (MFA) que protege el sistema con algún secuestro de sesión (MITRE ATT&CK T1563, Secuestro de sesión de servicio remoto).

Intentaron aprovechar varios servicios remotos diferentes (T1021, Servicios remotos), incluido el Protocolo de escritorio remoto (RDP) y Secure Shell (SSH), para obtener acceso a una cuenta de administrador válida (T1078, Cuentas válidas). Con ello, dieron un giro y “profundizaron” en la infraestructura de virtualización VMware de la red.

Allí, implementaron shells web (T1505.003, componente de software de servidor: Web Shell) para lograr persistencia y puertas traseras para ejecutar comandos (T1059, intérprete de comandos y secuencias de comandos) y robar credenciales, exfiltrando cualquier dato robado a un servidor de comando y control. (T1041, Exfiltración sobre el canal C2). Para ocultar esta actividad, el grupo creó sus propias instancias virtuales para ejecutarlas dentro del entorno (T1564.006, Ocultar artefactos: ejecutar instancia virtual).

La defensa de MITRE

"El impacto de este ciberataque no debe tomarse a la ligera", afirma Darren Guccione, director ejecutivo y cofundador de Keeper Security, destacando "tanto los vínculos extranjeros de los atacantes como la capacidad de los atacantes para explotar dos vulnerabilidades graves de día cero en su búsqueda para comprometer el NERVE de MITRE, lo que potencialmente podría exponer datos de investigación confidenciales y propiedad intelectual”.

Plantea que “los actores de los estados-nación a menudo tienen motivaciones estratégicas detrás de sus operaciones cibernéticas, y apuntar a una importante institución de investigación como MITRE, que trabaja en nombre del gobierno de Estados Unidos, podría ser sólo un componente de un esfuerzo mayor”.

Cualesquiera que fueran sus objetivos, UNC5221 tuvo tiempo suficiente para llevarlos a cabo. Aunque el compromiso se produjo en enero, MITRE sólo pudo detectarlo en abril, dejando un intervalo de un cuarto de año entre ambos.

“MITRE siguió las mejores prácticas, las instrucciones de los proveedores y los consejos del gobierno para actualizar, reemplazar y reforzar nuestro sistema Ivanti”, escribió la organización en Medium, “pero no detectamos el movimiento lateral en nuestra infraestructura VMware. En ese momento creímos que habíamos tomado todas las acciones necesarias para mitigar la vulnerabilidad, pero estas acciones fueron claramente insuficientes."

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs

Inteligencia de datos generativa

MITRE ATT&CKED: El nombre más confiable de InfoSec recae en Ivanti Bugs

ATT&CK DE MITRE

La defensa de MITRE

Helldivers 2 golpeado por una ola de críticas negativas en Steam después del anuncio de PSN – PlayStation LifeStyle

Halo Infinite obtendrá su propia versión de Helldivers 2 gracias a los creadores de Forge

Información más reciente

Cage The Elephant revela su último tema “Metaverse” – CryptoInfoNet

FC 24 TOTS Leroy Sane SBC, costos y soluciones

El crecimiento del empleo en EE.UU. se desacelera a medida que el precio de Bitcoin supera los 62,000 dólares

Redfall supera el primer aniversario, los héroes DLC prometidos aún no están a la vista

133,163,900,000 dólares en depósitos salen del sistema bancario estadounidense en una semana mientras el ex presidente de la Reserva Federal advierte que los prestamistas son vulnerables – The Daily Hodl

Fidelity revela que los fondos de pensiones están explorando las criptomonedas – The Defiant