De MITRE Corporation, de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren, is eerder dit jaar getroffen door een inbraak op een eigen netwerk. Aanvallers wisten via twee zerodaylekken toegang te krijgen tot de Ivanti vpn-servers van de organisatie, zo beschrijft MITRE in een blogposting.

Ivanti waarschuwde op 10 januari voor twee zerodaylekken in Ivanti Connect Secure en Ivanti Policy Secure Gateways waardoor een ongeauthenticeerde aanvaller commando's op het vpn-systeem kan uitvoeren. Eén van de organisaties die via de zerodays werd aangevallen was MITRE. Door middel van het kapen van sessies wist de aanvaller de multifactorauthenticatie te omzeilen en, via een gecompromitteerd beheerdersaccount, lateraal toegang tot de VMwarfe-infrastructuur te krijgen. Daarbij werden verschillende backdoors en webshells geïnstalleerd om toegang te behouden en inloggegevens te stelen.

MITRE stelt dat het instructies van Ivanti opvolgde, alsmede best practices en advies van de Amerikaanse overheid om het Ivanti vpn-systeem te upgraden, vervangen en beveiligen. De organisatie detecteerde echter niet dat de aanvallers toegang tot VMware-infrastructuur hadden gekregen. "Destijds dachten we dat we alle noodzakelijke maatregelen hadden genomen om deze kwetsbaarheid te verhelpen, maar deze acties waren klaarblijkelijk onvoldoende."

De getroffen Networked Experimentation, Research, and Virtualization Environment (NERVE) is een netwerk gebruikt voor onderzoek, ontwikkeling en prototyping. Volgens MITRE gaat het om een ongeclassificeerd netwerk en is het enterprise netwerk niet getroffen. Na ontdekking van de inbraak werden de getroffen systemen en delen van het netwerk geïsoleerd. MITRE verwacht dat de belangrijkste projecten de komende weken weer zullen worden hersteld in een schone omgeving. Daarnaast heeft de organisatie een verdere analyse van de aanval zelf aangekondigd.