Mitre Corporation veröffentlicht Erkenntnisse nach Cyberattacke: Sicherheitsempfehlungen für Unternehmen
Mitre Corporation wurde Opfer einer Cyberattacke, bei der höchstwahrscheinlich ein staatlicher Angreifer involviert war. Das Unternehmen hat nun entschieden, Informationen über den Angriff und die daraus gewonnenen Erkenntnisse zu veröffentlichen, um anderen Unternehmen bei der Vorbereitung auf zukünftige Angriffe oder bei einer effektiveren Reaktion zu helfen. Mitre ist für die Verwaltung mehrerer US-amerikanischer Forschungsinstitute, darunter das Center for Advanced Aviation System Development, verantwortlich. Daher sind auf den Servern sensible Daten vorhanden, die für staatliche Angreifer von besonderem Interesse sind.
Die Angreifer erlangten Zugriff auf die Forschungsumgebung Networked Experimentation, Research, and Virtualization Environment (NERVE). In diesem gemeinschaftlichen Netzwerk befinden sich verschiedene Informationen zur Forschung, Entwicklung und Prototypenentwicklung. Laut Mitteilung der Verantwortlichen wurde im Januar 2024 die Sicherheit der VPN-Umgebung von den Angreifern kompromittiert. Sie nutzten zwei Sicherheitslücken (CVE-2024-21887 mit hoher Kritikalität und CVE-2023-46805 mit hohem Risiko) in Ivanti Secure aus. Informationen über diese Sicherheitslücken waren bereits seit Anfang des Jahres verfügbar. Durch die Ausnutzung dieser Schwachstellen umgingen die Angreifer zunächst die Authentifizierung und führten dann ihre eigenen Befehle aus. Anschließend breiteten sie sich auf andere Geräte aus und installierten versteckte Zugänge.
Die Angreifer konnten auch erfolgreich einen Administrator-Account übernehmen, indem sie das Hijacking-Verfahren nutzten, um die Multi-Faktor-Authentifizierung zu umgehen. Die Administratoren von Mitre gaben an, den Empfehlungen der Cybersecurity & Infrastructure Security Agency (CISA) zur Absicherung von Ivanti Secure gefolgt zu sein. Allerdings bemerkten sie nicht, wie sich die Angreifer in der VMware-Infrastruktur ausbreiteten.
In ihrem Beitrag, der auf den Erkenntnissen des Angriffs basiert, präsentiert Mitre wichtige Sicherheitsempfehlungen, die von Administratoren und CISOs beachtet werden sollten. Dazu gehören unter anderem das Monitoring und die professionelle Auswertung von Protokollen sowie regelmäßige Sicherheitsupdates und eine robuste Authentifizierung.
Schlagwörter: Ivanti + Mitre + Networked
Wie bewerten Sie den Schreibstil des Artikels?