検索
特集

MITREがサイバー攻撃に遭う 攻撃者はIvantiのVPN製品のゼロデイ脆弱性を悪用かCybersecurity Dive

脅威フレームワーク「MITRE ATT&CK」などを提供するMITREは、Ivanti Connect Secureのゼロデイ脆弱性を悪用したサイバー攻撃を受けた。攻撃者はどのようにして多要素認証を回避したのだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 米国の非営利団体MITREによると、同組織の研究およびプロトタイプネットワークの一つが、2024年1月に国家に関連する攻撃者に侵入された(注1)。この攻撃者は、IvantiのVPN製品の2つのゼロデイ脆弱(ぜいじゃく)性を悪用した。

MITREを狙ったゼロデイ攻撃の詳細 攻撃者が多要素認証を回避した方法

 MITREのチャールズ・クランシー氏(シニアバイスプレジデント兼最高技術責任者)は、2024年4月19日(現地時間)のビデオ声明で次のように述べた(注2)。

 「私たちは、ベンダーや米国政府から推奨された全ての措置を講じたが、十分ではなかった。それを受けて、私たちは業界に対して行動を呼びかけている。脅威はより巧妙になっており、その脅威に対抗するための私たちのソリューションも同様に進化しなければならない」

 MITREはネットワーク実験や研究、仮想化環境でサイバー攻撃を検出し、機密扱いされていない共同ネットワークを直ちにオフラインにした。同組織は2024年4月19日の時点で「現在までの調査によると、このインシデントによって、MITREのコアエンタープライズネットワークやパートナーのシステムが影響を受けた形跡はない」と述べている。

 MITREは連邦政府と密接な関係を持ち、サイバー防衛研究において中心的な役割を果たす非営利組織であり、2024年に、リモートアクセスツール「Ivanti Connect Secure」のゼロデイ脆弱性の影響を受けた約1700の団体のうちの1つである(注3)。

 MITREは米国政府スポンサー向けに連邦政府資金を活用して研究開発センターを運営している。MITREのサイバーセキュリティ分野への貢献には、CVE.org(注4)や、「MITRE ATT&CK」、攻撃者の戦術と技術に関するデータベースの構築などがある(注5)。

 Ivanti製品のゼロデイ脆弱性は、サイバーセキュリティの領域における最も重要な組織や機関を巻き込んだ。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も2024年1月に、特定されていない攻撃者から攻撃を受けた(注6)。この攻撃者は、当時CISAが使用していたIvanti製品の重大な脆弱性を悪用した。

 クランシー氏の「LinkedIn」の投稿によると(注7)、MITREに対する攻撃は、IvantiのVPNからVMwareのインフラに横移動するものであり、Ivantiのゼロデイ脆弱性が公表される前に発生していたようだ。

 クランシー氏と、レックス・クランプトン氏(防御に関するサイバーオペレーションの研究者)はブログの中で「攻撃者はMITREのネットワークを偵察し、IvantiのVPNの一つを悪用し、セッションハイジャックを使用して、多要素認証を回避した」と述べている(注8)。

 「その後、攻撃者は横方向に移動し、侵害された管理者アカウントを使用して、私たちが持つVMwareのインフラストラクチャに深く潜入した。彼らは高度なバックドアとWebシェルを組み合わせて、永続性を維持し、認証情報を取得した」(クランシー氏およびクランプトン氏)

 MITREは「今回の攻撃はセキュア・バイ・デザインの原則の推進やサプライチェーンのセキュリティの向上、ネットワークのマイクロセグメント化、ゼロトラストアーキテクチャを展開する必要性を強調している」と回答した。

 攻撃の結果、流出した情報の影響と範囲に関する調査は現在進行中である。

© Industry Dive. All rights reserved.

ページトップに戻る