MITREコーポレーションは、国家主体アクターが2つのゼロデイ脆弱性を連鎖させて同社のR&Dネットワークを侵害したことを受け、Ivanti関連の侵害における最新の著名な被害組織となった。
この非営利団体によれば、同様の重大なサイバーインシデントに見舞われたのは15年前が最後であり、その出来事が、敵対者の戦術・技術に関する知識ベース「MITRE ATT&CK」の創設につながったという。
今回は、名称不明の国家主体アクターがMITREのNetworked Experimentation, Research, and Virtualization Environment(NERVE)を侵害した。NERVEは、ストレージ、コンピューティング、ネットワーキングのリソースを提供する、非機密の共同利用ネットワークである。アクターがMITREの中核ネットワークやパートナーシステムを侵害した兆候はない。
「2024年1月以降、脅威アクターが当社ネットワークの偵察を行い、Ivanti Connect Secureの2つのゼロデイ脆弱性を通じて当社の仮想プライベートネットワーク(VPN)の1つを悪用し、セッションハイジャックによって多要素認証を回避しました。そこから横方向に移動し、侵害された管理者アカウントを用いて当社ネットワークのVMwareインフラストラクチャへ深く侵入しました。永続化と認証情報の収集のために、高度なバックドアとWebシェルを組み合わせて使用しました」と、MITREのCTOであるCharles Clancy氏と、主任サイバーセキュリティエンジニアのLex Crumpton氏は説明した。
「MITREはベストプラクティス、ベンダーの指示、政府の助言に従ってIvantiシステムのアップグレード、置き換え、強化を行いましたが、VMwareインフラストラクチャへの横方向の移動を検知できませんでした。当時は脆弱性を緩和するために必要な措置をすべて講じたと考えていましたが、これらの措置は明らかに不十分でした。」
MITREに関する詳細: MITRE、重要インフラ脅威モデル・フレームワークを公開
セキュリティに注力する組織らしく、MITREはこのインシデントを、学びをコミュニティと共有する機会として活用している。
「当社は公共の利益のために活動し、企業セキュリティを強化するベストプラクティス、ならびに業界の現行サイバー防御態勢を改善するために必要な措置を提唱するというコミットメントに基づき、このインシデントを適時に開示しています」と、CEOのJason Providakes氏は述べた。
MITREは、インシデントは封じ込められ、当局にも通知済みであり、現在は「協働のための運用上の代替手段」を迅速かつ安全な形で復旧する作業を進めていると述べた。
Clancy氏とCrumpton氏のブログには、ネットワークの強化と検知能力の向上を目指す組織に向けた幅広い助言が掲載されている。非営利団体であるMITRE自身も、今後に向けて以下を約束している。
- 脆弱性評価およびペネトレーションテストを含む、全面的なインシデントレビュー
- 従業員向けトレーニングおよび意識向上プログラムの強化
- 得られた教訓に基づく防御態勢の強化
画像クレジット: JHVEPhoto / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/mitre-ivanti-breach-nation-state/
