Ivantiの脆弱性を通じてMITRE（マイター）へゼロデイ攻撃が発生

2024年4月20日に、米国の連保政府や自治体などへ研究開発支援を行う機関 MITRE（マイター）が、2024年1月に発生したIvantiの脆弱性を利用したゼロデイ攻撃を受けたと公表しました。攻撃には外国国家の脅威アクターが関与しているとしていますが、具体的な国名までは記載していません。

ゼロデイ攻撃の概要

2024 年 1 月以降、攻撃者はMITREのネットワークを偵察し、Ivanti Connect Secure の 2 つのゼロデイ脆弱性を通じてMITREのVPN の 1 つを悪用し、セッション ハイジャックをしてMITREの多要素認証を回避。

そこから彼らは水平方向に移動し、侵害された管理者アカウントを使用してVMwareのインフラを深く探索。攻撃者は、資格情報を収集するために、高度なバックドアと Web シェルを組み合わせて使用​​。

※VMwareへの侵害もIvantiの脆弱性が悪用されている

MITREはIvantiで利用しているシステムのアップグレードや強化、交換を実行しましたが

当時VMwareへの水平移動は検出できず対策は不十分だったとしています。

そして2024年4月に機密扱いでない共同研究開発ネットワーク（POCやその他の作業が保管されている場所）が外国の国家脅威アクターによって侵害されたことを発表しました。

また同組織は、「MITREの中核企業ネットワークやパートナーのシステムがこの事件の影響を受けた形跡はない」と述べています。

脅威アクターは中国？

MITRE（マイター）はこのサイバー攻撃が国家的な集団であるとしていますが、国名までは記載していません。

ただ、Ivantiの脆弱性（CVE-2023-46805、CVE-2024-21887）を発見し、ゼロデイ攻撃への悪用を公表した米国のサイバーセキュリティ企業のVolexityはこのゼロデイ攻撃集団「UTA0178」と名付けています。

Volexityは「UTA0178」が中国が国家的に関与している可能性が高いと主張しており、MITREへのサイバー攻撃にも中国が関わっている可能性があります。

公式リリース

Advanced Cyber Threats Impact Even the Most Prepared

Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

他危険性のある脆弱性情報

AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生

中国のサイバー攻撃に関する関連記事

中国が生成AIで作成したコンテンツをSNSで利用し、米国で世論工作を実施

米国が中国のハッカー集団「APT31」メンバーを起訴

I-SOON 中国政府へRATを提供していた企業から内部リーク