Secport.pl

MITRE zhakowane.

MITRE, znana korporacja zajmująca się cyberbezpieczeństwem, jest odpowiedzialna za tworzenie takich narzędzi jak CVE i ATT&CK. Niedawno opublikowała relację z ataku na systemy VPN Ivanti, ujawniając szereg szczegółów dotyczących użytych technik oraz działań obronnych.

Atakujący wykorzystali dwie podatności 0day w systemie VPN Ivanti, podobne do tych, które wcześniej dotknęły amerykańską agencję CISA. Omijając dwuskładnikowe uwierzytelnianie (2FA) poprzez przejęcie identyfikatorów sesji, uzyskali dostęp do już zalogowanych kont. Następnie zinfiltrowali podsieć ze zwirtualizowanymi serwerami, wykorzystując dostęp administratora, i użyli backdoorów oraz webshelli, aby zapewnić sobie trwały dostęp do systemu oraz kontynuować wykradanie danych logowania użytkowników.

Atak przypisano zagranicznej grupie hackerskiej klasy APT, co podkreśla zaawansowany charakter przeprowadzonego ataku.

Jedna z odkrytych podatności w systemie VPN Ivanti była niezwykle prosta do wykorzystania. Polegała na wykonaniu kodu w systemie operacyjnym urządzenia VPN jako root, bez wymogu uwierzytelnienia. Komenda, która to umożliwiała, wyglądała następująco:

/api/v1/totp/user-backup-code/../../license/keys-status/;CMD;

Działania Obronne

MITRE wdrożyło szereg działań obronnych w celu zneutralizowania zagrożenia i zabezpieczenia infrastruktury:

  1. Odcięcie Zainfekowanych Systemów: Zainfekowane systemy i sieci zostały odizolowane od reszty infrastruktury. Dzięki wcześniejszej inwentaryzacji zasobów IT udało się to przeprowadzić sprawnie, mimo złożoności połączeń wewnętrznych.
  2. Zarządzanie Incydentem: Powołano zespół zarządzający incydentem, który koordynował działania i informowanie odpowiednich zespołów oraz jednostek biznesowych.
  3. Techniczna Analiza: Przeprowadzono szczegółową analizę techniczną, aby określić zakres naruszeń i głębokość infiltracji. Kluczową rolę odegrał centralny system agregacji logów.
  4. Zastąpienie Zainfekowanych Systemów: Zainfekowane systemy zostały poddane analizie i przygotowano ich zamienniki, co zajęło około dwóch tygodni.
  5. Komunikacja z Zewnętrznymi Organizacjami: Przeprowadzono komunikację z klientami, akcjonariuszami oraz społecznością ITsec, dbając o odpowiedni balans w ujawnianiu informacji.
  6. Nowe Metody Monitorowania: Wdrożono nowe metody monitorowania infrastruktury IT, aby wykrywać ślady atakujących i lepiej zabezpieczać systemy na przyszłość.

Rekomendacje dla Innych Firm

MITRE udzieliło również kilku kluczowych rekomendacji dla firm, które mogą paść ofiarą podobnych ataków:

  1. Monitorowanie Anomalii VPN: Obserwowanie nietypowych godzin i miejsc połączeń VPN oraz nietypowego ruchu.
  2. Analiza Nietypowych Godzin Logowania: Regularne sprawdzanie nietypowych godzin logowania do systemów.
  3. Segmentacja Sieci: Sensowna segmentacja sieci, filtracja ruchu między podsieciami.
  4. Bazy Reputacyjne IP: Korzystanie z baz danych dotyczących reputacji adresów IP, blokowanie adresów powiązanych z oszustwami lub atakami.
  5. Korzystanie z Honeypotów: Wdrożenie honeypotów w celu wczesnego wykrywania ataków i poznania technik używanych przez atakujących.

Przyszłe Kroki MITRE

MITRE planuje jeszcze bardziej wzmocnić trzy główne obszary:

  1. Skanowanie Podatności i Pentesty: Regularne testowanie i skanowanie własnej infrastruktury.
  2. Szkolenia dla Pracowników: Szkolenia zarówno dla administratorów, jak i wszystkich pracowników w zakresie cyberbezpieczeństwa.
  3. Dodatkowe Zabezpieczenia Infrastruktury IT: Wdrożenie dodatkowych czujek, analiza anomalii oraz przemyślenie segmentacji sieci.

MITRE, jako lider w dziedzinie cyberbezpieczeństwa, nie tylko skutecznie odpiera ataki, ale także dzieli się swoimi doświadczeniami i rekomendacjami, pomagając innym firmom lepiej zabezpieczać swoje systemy.

Źródło:

https://www.mitre.org/news-insights/news-release/mitre-response-cyber-attack-one-its-rd-networks

https://medium.com/mitre-engenuity/advanced-cyber-threats-impact-even-the-most-prepared-56444e980dc8