Mitre foi violado por ator de ameaça estatal por meio de falhas da Ivanti

A organização Mitre, reconhecida por ser referência em conhecimento e frameworks de cibersegurança, disse na sexta-feira que sofreu uma violação de dados nas mãos de um “ator estrangeiro de ameaça de estado-nação” que explorou duas vulnerabilidades de dia zero da Ivanti no início deste ano.

Mitre é uma empresa de pesquisa e desenvolvimento sem fins lucrativos focada em diversos setores, incluindo aeroespacial, IA, defesa e outros. No que diz respeito à segurança cibernética, a empresa gerencia o sistema CVE e desenvolveu uma série de estruturas de segurança padrão do setor, como ATT&CK.

Em 19 de abril, a Mitre divulgou uma violação por meio de um comunicado à imprensa em seu site e de uma postagem no blog do Medium. No comunicado de imprensa, a empresa disse que confirmou um compromisso após detectar atividades suspeitas em sua rede colaborativa de pesquisa e desenvolvimento NERVE, abreviação de Networked Experimentation, Research, and Virtualization Environment.

"Após a detecção do incidente, o Mitre tomou medidas imediatas para conter o incidente, incluindo colocar o ambiente NERVE off-line, e rapidamente lançou uma investigação com o apoio de especialistas terceirizados internos e líderes. A investigação está em andamento, inclusive para determinar o escopo das informações que podem estar envolvidas", dizia o comunicado à imprensa.

O presidente e CEO da Mitre, Jason Providakes, disse em uma citação compartilhada junto com o comunicado à imprensa que a empresa decidiu divulgar o incidente em tempo hábil “devido ao nosso compromisso de operar no interesse público e de defender as melhores práticas que também melhorem a segurança empresarial e as medidas necessárias para melhorar a atual postura de defesa cibernética da indústria."

De acordo com a postagem do Medium de autoria do principal engenheiro de segurança cibernética da Mitre, Lex Crumpton, e do CTO Charles Clancy, os agentes de ameaças obtiveram acesso a partir de janeiro por meio de duas vulnerabilidades de dia zero do Ivanti Connect Secure –uma falha de desvio de autenticação, rastreada como CVE-2023-46805, e uma vulnerabilidade de injeção de comando, rastreada como CVE-2024-21887. As vulnerabilidades foram amplamente exploradas no início deste ano e, como resultado, centenas de organizações foram comprometidas, incluindo a CISA.

“A partir de janeiro de 2024, um agente de ameaça realizou o reconhecimento de nossas redes, explorou uma de nossas redes privadas virtuais (VPNs) por meio de duas vulnerabilidades de dia zero do Ivanti Connect Secure e contornou nossa autenticação multifatorial usando sequestro de sessão”, diz o post. “A partir daí, eles se moveram lateralmente e se aprofundaram na infraestrutura VMware da nossa rede usando uma conta de administrador comprometida. Eles empregaram uma combinação de backdoors e webshells sofisticados para manter a persistência e coletar credenciais”.

Crumpton e Clancy disseram que a empresa respondeu às divulgações iniciais das vulnerabilidades do Ivanti Connect Secure em janeiro.

“O Mitre seguiu as melhores práticas, as instruções do fornecedor e os conselhos do governo para atualizar, substituir e fortalecer nosso sistema Ivanti, mas não detectamos o movimento lateral em nossa infraestrutura VMware”, escreveram os autores. “Na época, acreditávamos ter tomado todas as ações necessárias para mitigar a vulnerabilidade, mas essas ações foram claramente insuficientes”.

Embora Mitre não tenha identificado o ator específico da ameaça por trás do ataque, Clancy referiu-se a “um sofisticado ator de ameaça do Estado-nação” em uma mensagem de vídeo anexada ao comunicado de imprensa. Nele, ele disse que o ator responsável pela ameaça comprometeu “mais de 1.700 organizações”, incluindo Mitre.

Isto sugere que o ator da ameaça era o ator do nexo chinês UNC5221, um adversário do Estado-nação detalhado na pesquisa da Mandiant publicada em janeiro.

O Editorial da TechTarget pediu esclarecimentos sobre este ponto, mas um porta-voz da Mitre se recusou a fornecer detalhes adicionais.

A TechTarget Editorial também entrou em contato com Ivanti para comentar.

Sobre o autor: Alexander Culafi é redator sênior de notícias sobre segurança da informação e apresentador de podcast da TechTarget Editorial.