MITRE Corporation atacada por hackers que explotan las fallas de Ivanti Connect Secure
- OSIPTEL
- 8 julio 2024
MITRE Corporation, una organización sin fines de lucro conocida por sus investigaciones en ciberseguridad reveló que fue objetivo de un ciberataque de un estado-nación que aprovechó dos vulnerabilidades críticas en los dispositivos Ivanti Connect Secure (ICS) desde enero de 2024.
Detalles del ciberataque
El ataque comprometió el entorno de red de MITRE (NERVE), una red de investigación y creación de prototipos no clasificada que proporciona almacenamiento, informática y redes. Los ciberdelincuentes utilizaron una táctica sofisticada en la que crearon máquinas virtuales (VM) maliciosas para evadir la detección. Realizaron el reconocimiento de las redes de MITRE, explotaron una red privada virtual (VPN) a través de dos vulnerabilidades críticas (CVE-2023-46805 y CVE-2024-21887) de Ivanti Connect Secure (ICS) y eludieron la autenticación multifactor a través del secuestro de sesión logrando ejecutar comandos arbitrarios en el sistema infectado.
Medidas de respuesta
La organización ha tomado medidas para contener el incidente y ha realizado esfuerzos de respuesta y recuperación, así como análisis forenses para identificar el alcance del compromiso. La explotación inicial de las vulnerabilidades se atribuyó a un grupo respaldado por Volexity, posiblemente vinculado a China. Desde entonces, varios otros hackers de China se han sumado al tren de explotación.
El presidente y director ejecutivo de MITRE, Jason Providakes, afirmó que ninguna organización es inmune a este tipo de ciberataques y que están comprometidos a operar en interés público y defender las mejores prácticas para la seguridad empresarial y mejorar la postura actual de ciberseguridad de la industria.
Recomendaciones
– Mantener todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad para evitar la explotación de vulnerabilidades conocidas.
– Monitorear el tráfico de red para detectar actividades sospechosas y responder rápidamente a posibles amenazas.
– Seguridad en la autenticación multifactor (MFA).
– Revisar y auditar regularmente las cuentas privilegiadas para detectar y responder a actividades inusuales que puedan indicar una posible intrusión
Fuente: https://thehackernews.com/2024/05/hackers-created-rogue-vms-to-evade.html
Deja una respuesta