Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Each one teach one: Mitre-Organisation gibt Einblicke in Cyberattacke

Angreifer haben zwei Ivanti-VPN-Lücken kombiniert und sind in eine Forschungsumgebung der Mitre-Organisation eingestiegen.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Washington Post: Trump bestätigt Cyberangriff gegen Russland 2018
Lesezeit: 2 Min.
Security
Von

Die Mitre Corporation ist Opfer einer IT-Attacke eines wahrscheinlich staatlichen Bedrohungsakteurs geworden. Damit andere Firmen sich davor besser rüsten oder im Ernstfall effektiver reagieren können, teilt die Corporation nun Details aus dem Angriff und ihre Lehren daraus.

Die Mitre-Organisation verwaltet mehrere US-amerikanische Forschungsinstitute wie das Center for Advanced Aviation System Development. Demzufolge liegen auf den Servern durchaus sensible Daten, an denen vor allem staatliche Angreifer Interesse haben.

In einem Beitrag geben die Verantwortlichen an, dass die Angreifer sich Zugriff auf die Forschungsumgebung Networked Experimentation, Research, and Virtualization Environment (NERVE) verschafft haben. In dem kollaborativen Netzwerk finden sich unter anderem Daten zur Forschung, Entwicklung und Prototyping.

Die Verantwortlichen der Organisation führen aus, dass die Angreifer im Januar 2024 eine VPN-Umgebung geknackt haben. Dafür kombinierten sie ihnen zufolge zwei Sicherheitslücken (CVE-2024-21887 "kritisch", CVE-2023-46805 „hoch") in Ivanti Connect Secure. Erste Infos zu den Schwachstellen sind seit Anfang dieses Jahres bekannt.

Setzen Angreifer erfolgreich an diesen Lücken an, umgehen sie zuerst die Authentifizierung und führen dann eigene Befehle aus. In dieser Position breiten sie sich dann auf weitere Geräte aus und installieren Hintertüren. So auch in diesem Fall. Zusätzlich haben die Angreifer noch einen Admin-Account per Hijacking übernommen, um die Multi-Faktor-Authentifizierung zu umgehen.

Die Mitre-Admins geben an, die Empfehlungen der Cybersecurity & Infrastructure Security Agency (CISA) in Bezug auf die Härtung von Ivanti Connect Secure befolgt zu haben, im Anschluss haben sie aber nicht gemerkt, wie sich die Angreifer in der VMware-Infrastruktur ausgebreitet haben.

In ihrem Beitrag mit Lehren aus der Attacke führen sie wichtige Sicherheitstipps auf, die sich Admins und CISOs zu Herzen nehmen sollten. Dort geht es unter anderem um Monitoring und die fachgerechte Auswertung von Logs. Natürlich steht auch das regelmäßige Installieren von Sicherheitsupdates und eine starke Authentifizierung auf der Liste.

(des)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten