Η MITRE Corporation λέει ότι κρατικοί hackers παραβίασαν τα συστήματά της τον Ιανουάριο του 2024, χρησιμοποιώντας δύο zero-day ευπάθειες σε Ivanti VPN (συνδυασμός των δύο).
Η παραβίαση ανακαλύφθηκε μετά τον εντοπισμό ύποπτης δραστηριότητας στο Networked Experimentation, Research and Virtualization Environment (NERVE) της MITRE (ένα συνεργατικό δίκτυο που χρησιμοποιείται για έρευνα και ανάπτυξη).
Η MITRE έχει ειδοποιήσει όσους επηρεάζονται και έχει ενημερώσει τις αρμόδιες αρχές. Τώρα εργάζεται για την αποκατάσταση των “λειτουργικών εναλλακτικών”.
Η έρευνα, μέχρι τώρα, δείχνει ότι η παραβίαση δεν επηρέασε το βασικό επιχειρηματικό δίκτυο του οργανισμού ή τα συστήματα των συνεργατών του.
Δείτε επίσης: Ivanti: Κρίσιμες ευπάθειες στο λογισμικό Avalanche
Ο διευθύνων σύμβουλος της MITRE, Jason Providakes, τόνισε ότι όλοι οι οργανισμοί είναι ευάλωτοι σε κυβερνοεπιθέσεις, ακόμα και αν δίνουν ιδιαίτερη έμφαση στην κυβερνοασφάλεια.
Ο CTO της MITRE, Charles Clancy και ο Μηχανικός Κυβερνοασφάλειας, Lex Crumpton, εξήγησαν ότι η παραβίαση έγινε σε ένα από τα Virtual Private Networks (VPN) της MITRE, μέσω του συνδυασμού δύο zero-day ευπαθειών στο Ivanti Connect Secure.
Καθ’ όλη τη διάρκεια του περιστατικού, οι hackers χρησιμοποίησαν έναν συνδυασμό εξελιγμένων webshells και backdoors για να διατηρήσουν την πρόσβαση στα παραβιασμένα συστήματα και να κλέψουν credentials.
Από τις αρχές Δεκεμβρίου, οι δύο ευπάθειες ασφαλείας Ivanti, CVE-2023-46805 και CVE-2024-21887, έχουν χρησιμοποιηθεί για την ανάπτυξη πολλαπλών οικογενειών κακόβουλου λογισμικού για σκοπούς κατασκοπείας.
Η Mandiant έχει συνδέσει αυτές τις επιθέσεις με μια ομάδα APT, γνωστή ως UNC5221, ενώ η Volexity ανέφερε ότι Κινέζοι κρατικοί hackers εκμεταλλεύονται τις δύο ευπάθειες.
Λόγω της μαζικής εκμετάλλευσής τους και της τεράστιας επιφάνειας επίθεσης, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες να διορθώσουν αμέσως τις ευπάθειες στα συστήματα Ivanti.
Δείτε επίσης: Η Ivanti διορθώνει ευπάθειες σε Connect Secure gateways
Οι ενημερώσεις λoγισμικού είναι ζωτικής σημασίας για την κυβερνοασφάλεια. Όταν οι εταιρείες λογισμικού ανακαλύπτουν κενά ασφαλείας ή ευπάθειες στον κώδικά τους, αναπτύσσουν ενημερώσεις για να διορθώσουν αυτά τα προβλήματα. Αυτές οι ενημερώσεις
περιλαμβάνουν συνήθως διορθώσεις που αποτρέπουν τους κακόβουλους χρήστες από το να εκμεταλλευτούν τις ευπάθειες και να προκαλέσουν ζημιές στο σύστημα.Καλύτερες πρακτικές για εφαρμογή ενημερώσεων
Οι βέλτιστες πρακτικές για την εφαρμογή ενημερώσεων λογισμικού, με σκοπό τη βελτίωση της κυβερνοασφάλειας, είναι ουσιαστικά οι εξής: Πρώτον, είναι σημαντικό να έχετε μια καλά οργανωμένη διαδικασία διαχείρισης ενημερώσεων. Αυτό περιλαμβάνει την παρακολούθηση των διαθέσιμων ενημερώσεων, την αξιολόγηση της σημασίας τους και την προτεραιότητα της εγκατάστασής τους.
Δεύτερον, είναι σημαντικό να εφαρμόζετε τις ενημερώσεις λoγισμικού το συντομότερο δυνατόν μετά την κυκλοφορία τους. Οι ενημερώσεις περιέχουν διορθώσεις για γνωστά προβλήματα ασφαλείας, οπότε η καθυστέρηση στην εγκατάστασή τους μπορεί να εκθέσει το σύστημά σας σε κινδύνους.
Δείτε επίσης: Η Ivanti διορθώνει μια κρίσιμη ευπάθεια του Standalone Sentry
Τρίτον, πρέπει να διασφαλίζετε ότι οι ενημερώσεις εγκαθίστανται σωστά και πλήρως. Αυτό περιλαμβάνει την εκτέλεση πλήρους ελέγχου συμβατότητας με το υπάρχον σύστημα, τη δημιουργία αντιγράφων ασφαλείας πριν από την εγκατάσταση και την παρακολούθηση της διαδικασίας για τυχόν σφάλματα ή προβλήματα.
Τέλος, είναι σημαντικό να διατηρείτε το λογισμικό σας ενημερωμένο συνεχώς. Οι επιθέσεις και οι απειλές στην κυβερνοασφάλεια εξελίσσονται συνεχώς, οπότε η ενημέρωση του λογισμικού σας είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας του συστήματός σας.
Πηγή: www.bleepingcomputer.com