Miter Corporation, devlet destekli bir hack grubunun Ocak 2024'te iki Ivanti VPN sıfır gününü zincirleyerek sistemlerini ihlal ettiğini söylüyor.
Olay, araştırma ve geliştirme için kullanılan sınıflandırılmamış bir işbirlikçi ağ olan MITER'in ağa bağlı deney, araştırma ve sanallaştırma ortamında (sinir) şüpheli aktivite tespit edildikten sonra keşfedildi.
Miter o zamandan beri etkilenen tarafları ihlalden haberdar etti, ilgili yetkililerle temasa geçti ve şimdi "operasyonel alternatifler" ni geri yükleme üzerinde çalışıyor.
Soruşturma sırasında toplanan kanıtlar, bu ihlalin kuruluşun temel kurumsal ağını veya ortaklarının sistemlerini etkilemediğini göstermektedir.
Cuma günü Miter CEO'su Jason Providakes, "Hiçbir organizasyon, bu tür siber saldırıdan muaf değildir, mümkün olan en yüksek siber güvenliği korumaya çalışan bile değil," dedi.
Diyerek şöyle devam etti: "Kamu yararına faaliyet gösterme ve kurumsal güvenliği artıran en iyi uygulamaları ve endüstrinin mevcut siber savunma duruşunu iyileştirmek için gerekli önlemleri savunma taahhüdümüz nedeniyle bu olayı zamanında açıklıyoruz."
MITER CTO Charles Clancy ve Siber Güvenlik Mühendisi Lex Crumpton ayrıca, tehdit aktörlerinin iki Ivanti Connect Secure Sıfır günlerini zincirleyerek Mither'in sanal özel ağlarından (VPN'ler) birini tehlikeye attığını açıkladı.
Ayrıca oturum kaçırma kullanarak çok faktörlü kimlik doğrulama (MFA) savunmalarını atlayabilirler, bu da kaçırılan bir yönetici hesabı kullanarak ihlal edilen ağın VMware altyapısından yanal olarak hareket etmelerini sağlar.
Olay boyunca, bilgisayar korsanları, hacklenen sistemlere ve hasat kimlik bilgilerine erişimi sürdürmek için sofistike web kabukları ve arka kolların bir kombinasyonunu kullandılar.
Aralık ayının başından beri, iki güvenlik açığı, bir Auth Bypass (CVE-2023-46805) ve bir komut enjeksiyonu (CVE-2024-21887), casusluk amacıyla birden fazla kötü amaçlı yazılım ailesi dağıtmak için kullanılmıştır.
Mantiant, bu saldırıları UNC5221 olarak izlerken, gelişmiş bir kalıcı tehdide (APT) bağlanırken, Volexity Çin devlet destekli tehdit aktörlerinin iki sıfır günden yararlandığına dair işaretler gördüğünü bildirdi.
Volexity, Çinli bilgisayar korsanlarının 2.100'den fazla Ivanti aletini geri çektiğini, ihlal edilen ağlardan hesap ve oturum verilerini hasat ve çaldığını söyledi. Mağdurlar, çeşitli endüstri sektörlerinden Fortune 500 şirketleri de dahil olmak üzere küçük işletmelerden dünya çapındaki en büyük kuruluşlara kadar değişiyordu.
Kitlesel sömürüleri ve geniş saldırı yüzeyi nedeniyle CISA, bu yılki ilk acil durum direktifini 19 Ocak'ta yayınladı ve federal ajanslara Ivanti sıfır günlerini hemen hafifletmelerini emretti.
Crushftp, kullanıcıları sömürülen sıfır gün “hemen” yama yapmaları konusunda uyarır
Ivanti çığ MDM çözümünde kritik kusurları uyarıyor
Palo Alto Networks Backdoor Güvenlik Duvarlarına Sökülen Zero Day'i düzeltiyor
Telegram Düzeltiyor Windows Uygulaması Sıfır Gün Python komut dosyalarını başlatmak için kullanılan
CISA, Microsoft Hack'ten Etkilenen Ajansları Siparişler Riskleri azaltmak için
Kaynak: Bleeping Computer