image

MITRE meldt inbraak op netwerk via zerodaylekken in Ivanti vpn-servers

zaterdag 20 april 2024, 08:55 door Redactie, 3 reacties

De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren, is eerder dit jaar getroffen door een inbraak op een eigen netwerk. Aanvallers wisten via twee zerodaylekken toegang te krijgen tot de Ivanti vpn-servers van de organisatie, zo beschrijft MITRE in een blogposting.

Ivanti waarschuwde op 10 januari voor twee zerodaylekken in Ivanti Connect Secure en Ivanti Policy Secure Gateways waardoor een ongeauthenticeerde aanvaller commando's op het vpn-systeem kan uitvoeren. Eén van de organisaties die via de zerodays werd aangevallen was MITRE. Door middel van het kapen van sessies wist de aanvaller de multifactorauthenticatie te omzeilen en, via een gecompromitteerd beheerdersaccount, lateraal toegang tot de VMwarfe-infrastructuur te krijgen. Daarbij werden verschillende backdoors en webshells geïnstalleerd om toegang te behouden en inloggegevens te stelen.

MITRE stelt dat het instructies van Ivanti opvolgde, alsmede best practices en advies van de Amerikaanse overheid om het Ivanti vpn-systeem te upgraden, vervangen en beveiligen. De organisatie detecteerde echter niet dat de aanvallers toegang tot VMware-infrastructuur hadden gekregen. "Destijds dachten we dat we alle noodzakelijke maatregelen hadden genomen om deze kwetsbaarheid te verhelpen, maar deze acties waren klaarblijkelijk onvoldoende."

De getroffen Networked Experimentation, Research, and Virtualization Environment (NERVE) is een netwerk gebruikt voor onderzoek, ontwikkeling en prototyping. Volgens MITRE gaat het om een ongeclassificeerd netwerk en is het enterprise netwerk niet getroffen. Na ontdekking van de inbraak werden de getroffen systemen en delen van het netwerk geïsoleerd. MITRE verwacht dat de belangrijkste projecten de komende weken weer zullen worden hersteld in een schone omgeving. Daarnaast heeft de organisatie een verdere analyse van de aanval zelf aangekondigd.

Reacties (3)
20-04-2024, 10:20 door Anoniem
Humor, de organisatie die allerlei aanbevelingen doet met een heel framework is zelf ook de sjaak. Zo zie je maar weer , niemand is echt veilig ondanks alle theoretische frameworks.
20-04-2024, 13:44 door Anoniem
Door Anoniem: Humor, de organisatie die allerlei aanbevelingen doet met een heel framework is zelf ook de sjaak. Zo zie je maar weer , niemand is echt veilig ondanks alle theoretische frameworks.

Ben benieuwd of ze hier een CVE nummer aan gaan toekenen. :P
20-04-2024, 17:54 door linuxpro
Door Anoniem: Humor, de organisatie die allerlei aanbevelingen doet met een heel framework is zelf ook de sjaak. Zo zie je maar weer , niemand is echt veilig ondanks alle theoretische frameworks.

Het hele probleem is dat de engine vaak zo rot als een mispel is en daar wordt dan een marketing verantwoorde GUI omheen getimmerd met allerlei toeters en bellen maar.. .de kern blijft rot en dat neem je door een leuk uitziende GUI net weg.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.