Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生
2024年4月20日に、米国の連保政府や自治体などへ研究開発支援を行う機関 MITRE(マイター)が、2024年1月に発生したIvantiの脆弱性を利用したゼロデイ攻撃を受けたと公表しました。攻撃には外国国家の脅威アクターが関与しているとしていますが、具体的な国名までは記載していません。
ゼロデイ攻撃の概要
2024 年 1 月以降、攻撃者はMITREのネットワークを偵察し、Ivanti Connect Secure の 2 つのゼロデイ脆弱性を通じてMITREのVPN の 1 つを悪用し、セッション ハイジャックをしてMITREの多要素認証を回避。
そこから彼らは水平方向に移動し、侵害された管理者アカウントを使用してVMwareのインフラを深く探索。攻撃者は、資格情報を収集するために、高度なバックドアと Web シェルを組み合わせて使用。
※VMwareへの侵害もIvantiの脆弱性が悪用されている
MITREはIvantiで利用しているシステムのアップグレードや強化、交換を実行しましたが
当時VMwareへの水平移動は検出できず対策は不十分だったとしています。
そして2024年4月に機密扱いでない共同研究開発ネットワーク(POCやその他の作業が保管されている場所)が外国の国家脅威アクターによって侵害されたことを発表しました。
また同組織は、「MITREの中核企業ネットワークやパートナーのシステムがこの事件の影響を受けた形跡はない」と述べています。
脅威アクターは中国?
MITRE(マイター)はこのサイバー攻撃が国家的な集団であるとしていますが、国名までは記載していません。
ただ、Ivantiの脆弱性(CVE-2023-46805、CVE-2024-21887)を発見し、ゼロデイ攻撃への悪用を公表した米国のサイバーセキュリティ企業のVolexityはこのゼロデイ攻撃集団「UTA0178」と名付けています。
Volexityは「UTA0178」が中国が国家的に関与している可能性が高いと主張しており、MITREへのサイバー攻撃にも中国が関わっている可能性があります。
公式リリース
Advanced Cyber Threats Impact Even the Most Prepared
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
他危険性のある脆弱性情報
中国のサイバー攻撃に関する関連記事