MITRE 公司于 4 月 19 日透露,它是 2024 年 1 月受到国家支持的黑客组织攻击的 1700 多个组织之一。MITRE 数据泄露涉及两个 Ivanti VPN 零日漏洞,凸显了网络威胁的不断演变的性质和组织在防御这些挑战时面临的挑战。
MITRE 的网络实验、研究和虚拟化环境 (NERVE) 是一个用于研究和开发的非保密协作网络,发现可疑活动后发现了 MITRE 数据泄露事件。
MITRE DATA 泄露发现和响应
发现后,MITRE 立即将 NERVE 下线,并在内部和外部网络安全专家的协助下展开调查。
“发现事件后,MITRE 迅速采取行动遏制事件,包括使 NERVE 环境下线,并在内部和领先的第三方专家的支持下迅速启动调查。调查正在进行中,包括确定可能涉及的信息范围,”官方通知中写道。
MITRE 首席执行官贾森·普罗维达克斯 (Jason Providakes) 强调,“没有任何组织能够免受此类网络攻击,即使是努力维持最高网络安全的组织也是如此。” Providakes 强调了及时披露事件对于推广最佳实践和增强企业安全的重要性。
“我们及时披露这一事件,是因为我们致力于以公共利益为重,倡导增强企业安全的最佳实践,以及改善行业当前网络防御态势的必要措施。威胁和网络攻击变得越来越复杂,需要提高警惕和采取防御措施。正如我们之前所做的那样,我们将分享我们从这次经历中学到的知识,以帮助他人并发展我们自己的实践,”普罗维达克斯说。
MITRE 首席技术官 Charles Clancy 提供了更多见解,解释说威胁行为者破坏了用于提供与受信任网络的连接的 Ivanti Connect Secure 设备。克兰西强调,业界需要采用更复杂的网络安全解决方案来应对日益高级的威胁。
MITRE 概述了四项关键建议:
- 通过设计原则提高安全性:硬件和软件本身应该是安全的。
- 实施安全供应链:利用软件物料清单来了解上游软件系统中的威胁。
- 部署零信任架构:除了多因素身份验证之外,还实施网络微分段。
- 采用对手交战:使对手交战成为网络防御的常规部分,以提供检测和威慑。
MITRE 长期以来一直致力于为公共利益的网络安全研究和开发做出贡献。该组织开发了 ATT&CK®、Engage™、D3FEND™ 和 CALDERA™ 等框架,供全球网络安全社区使用。
MITRE 数据泄露的详细信息
MITRE 数据泄露涉及两个零日漏洞:身份验证绕过 (CVE-2023-46805) 和命令注入 (CVE-2024-21887)。这些漏洞允许威胁行为者绕过多因素身份验证防御,并使用被劫持的管理员帐户在受感染的网络中横向移动。
攻击者利用复杂的 Webshell 和后门来维持对被黑系统的访问并获取凭据。自 12 月初以来,这些漏洞已被利用来部署多个恶意软件系列以用于间谍目的。
Mandiant 将这些攻击归因于一种名为 UNC5221 的高级持续威胁 (APT),而 Volexity 则报告了中国国家支持的攻击者利用零日漏洞的迹象。 Volexity 发现了超过 2,100 台 Ivanti 设备遭到入侵,影响了全球各种规模的组织,包括财富 500 强公司。
攻击的规模和严重性促使网络安全和基础设施安全局 ( CISA ) 于 1 月 19 日发布紧急指令,指示联邦机构立即缓解 Ivanti 零日攻击。
MITRE 的披露提醒人们网络对手所构成的持续威胁以及组织不断增强网络安全防御的迫切需要。
发表评论
您还未登录,请先登录。
登录