Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生

Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生

2024年4月20日に、米国の連保政府や自治体などへ研究開発支援を行う機関 MITRE(マイター)が、2024年1月に発生したIvantiの脆弱性を利用したゼロデイ攻撃を受けたと公表しました。攻撃には外国国家の脅威アクターが関与しているとしていますが、具体的な国名までは記載していません。

ゼロデイ攻撃の概要

2024 年 1 月以降、攻撃者はMITREのネットワークを偵察し、Ivanti Connect Secure の 2 つのゼロデイ脆弱性を通じてMITREのVPN の 1 つを悪用し、セッション ハイジャックをしてMITREの多要素認証を回避。

そこから彼らは水平方向に移動し、侵害された管理者アカウントを使用してVMwareのインフラを深く探索。攻撃者は、資格情報を収集するために、高度なバックドアと Web シェルを組み合わせて使用​​。

VMwareへの侵害もIvantiの脆弱性が悪用されている

MITREはIvantiで利用しているシステムのアップグレードや強化、交換を実行しましたが

そして2024年4月に機密扱いでない共同研究開発ネットワーク(POCやその他の作業が保管されている場所)が外国の国家脅威アクターによって侵害されたことを発表しました。

また同組織は、「MITREの中核企業ネットワークやパートナーのシステムがこの事件の影響を受けた形跡はない」と述べています。

脅威アクターは中国?

ただ、Ivantiの脆弱性(CVE-2023-46805、CVE-2024-21887)を発見し、ゼロデイ攻撃への悪用を公表した米国のサイバーセキュリティ企業のVolexityはこのゼロデイ攻撃集団「UTA0178」と名付けています。

公式リリース

Advanced Cyber Threats Impact Even the Most Prepared

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

他危険性のある脆弱性情報

中国のサイバー攻撃に関する関連記事

TOPへ