Después de que la Agencia Nacional de Seguridad de la Información de EE.UU. (CISA)Ahora es el turno de otro peso pesado de la prevención de riesgos de ciberseguridad de ser el objetivo de un ataque informático a través de exploits de vulnerabilidades de Ivanti. En el origen del framework Att&ck -pero también del programa CVE y de la inclusión en la lista CWE- la organización estadounidense sin ánimo de lucro creada en 1958 explicó que había detectado una intrusión en uno de sus sistemas. En este caso, un entorno colaborativo no clasificado (NERVE) que proporciona recursos de almacenamiento, computación y red utilizados para I+D y creación de prototipos. "Se ha confirmado el compromiso por parte de un grupo apoyado por un estado extranjero", anunciado INGLETE.

Tras este descubrimiento, la empresa desconectó el entorno y aisló los sistemas y segmentos de red afectados. También se puso en marcha una serie de análisis forenses para identificar el alcance del ataque, las técnicas utilizadas y si se limitó a esta red de investigación o se extendió a otras. “Ninguna empresa es inmune a este tipo de ciberataque, ni siquiera aquellas que se esfuerzan por mantener la máxima ciberseguridad posible”, afirmó Jason Providakes, CEO de MITRE. “Estamos divulgando este incidente de manera oportuna debido a nuestro compromiso de actuar en interés público y abogar por las mejores prácticas que fortalezcan la seguridad empresarial y los pasos necesarios para mejorar la postura actual de ciberdefensa de la industria”.

Las medidas de mitigación son en gran medida insuficientes

En un Entrada de blogMITRE dijo que el ataque se remonta a enero de 2024 y que el grupo cibercriminal realizó un reconocimiento de las redes de la organización y explotó dos vulnerabilidades de día cero en una de sus redes Ivanti Connect Secure VPN. El actor de amenazas también logró eludir la autenticación multifactor secuestrando una sesión. “A partir de ahí, se movieron lateralmente y excavaron profundamente en la infraestructura VMware de nuestra red utilizando una cuenta de administrador comprometida. Utilizaron una combinación de puertas traseras sofisticadas y webshells para mantener la persistencia y recopilar credenciales”, dijo MITRE. La organización reconoció que no se percató de este movimiento lateral a pesar de las medidas de mitigación que, en retrospectiva, se describieron como “claramente insuficientes”.

Reconociendo sus debilidades (y teniendo en cuenta el poder de un atacante con apoyo a nivel gubernamental), MITRE anuncia varios avances notables para reforzar su ciberseguridad. En primer lugar, ha implementado una revisión exhaustiva de su postura de seguridad (revisión de vulnerabilidades, pruebas de penetración, etc.), ha mejorado sus programas de capacitación y concientización de los empleados e instalado medidas de seguridad adicionales después de este incidente. Cabe señalar que la organización planea publicar pronto detalles técnicos sobre este ataque, brindando una descripción general de las tácticas utilizadas y sus avances de seguridad para abordar las ciberamenazas.