MITREがサイバー攻撃に遭う 攻撃者はIvantiのVPN製品のゼロデイ脆弱性を悪用か:Cybersecurity Dive
脅威フレームワーク「MITRE ATT&CK」などを提供するMITREは、Ivanti Connect Secureのゼロデイ脆弱性を悪用したサイバー攻撃を受けた。攻撃者はどのようにして多要素認証を回避したのだろうか。
米国の非営利団体MITREによると、同組織の研究およびプロトタイプネットワークの一つが、2024年1月に国家に関連する攻撃者に侵入された(注1)。この攻撃者は、IvantiのVPN製品の2つのゼロデイ脆弱(ぜいじゃく)性を悪用した。
MITREを狙ったゼロデイ攻撃の詳細 攻撃者が多要素認証を回避した方法
MITREのチャールズ・クランシー氏(シニアバイスプレジデント兼最高技術責任者)は、2024年4月19日(現地時間)のビデオ声明で次のように述べた(注2)。
「私たちは、ベンダーや米国政府から推奨された全ての措置を講じたが、十分ではなかった。それを受けて、私たちは業界に対して行動を呼びかけている。脅威はより巧妙になっており、その脅威に対抗するための私たちのソリューションも同様に進化しなければならない」
MITREはネットワーク実験や研究、仮想化環境でサイバー攻撃を検出し、機密扱いされていない共同ネットワークを直ちにオフラインにした。同組織は2024年4月19日の時点で「現在までの調査によると、このインシデントによって、MITREのコアエンタープライズネットワークやパートナーのシステムが影響を受けた形跡はない」と述べている。
MITREは連邦政府と密接な関係を持ち、サイバー防衛研究において中心的な役割を果たす非営利組織であり、2024年に、リモートアクセスツール「Ivanti Connect Secure」のゼロデイ脆弱性の影響を受けた約1700の団体のうちの1つである(注3)。
MITREは米国政府スポンサー向けに連邦政府資金を活用して研究開発センターを運営している。MITREのサイバーセキュリティ分野への貢献には、CVE.org(注4)や、「MITRE ATT&CK」、攻撃者の戦術と技術に関するデータベースの構築などがある(注5)。
Ivanti製品のゼロデイ脆弱性は、サイバーセキュリティの領域における最も重要な組織や機関を巻き込んだ。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も2024年1月に、特定されていない攻撃者から攻撃を受けた(注6)。この攻撃者は、当時CISAが使用していたIvanti製品の重大な脆弱性を悪用した。
クランシー氏の「LinkedIn」の投稿によると(注7)、MITREに対する攻撃は、IvantiのVPNからVMwareのインフラに横移動するものであり、Ivantiのゼロデイ脆弱性が公表される前に発生していたようだ。
クランシー氏と、レックス・クランプトン氏(防御に関するサイバーオペレーションの研究者)はブログの中で「攻撃者はMITREのネットワークを偵察し、IvantiのVPNの一つを悪用し、セッションハイジャックを使用して、多要素認証を回避した」と述べている(注8)。
「その後、攻撃者は横方向に移動し、侵害された管理者アカウントを使用して、私たちが持つVMwareのインフラストラクチャに深く潜入した。彼らは高度なバックドアとWebシェルを組み合わせて、永続性を維持し、認証情報を取得した」(クランシー氏およびクランプトン氏)
MITREは「今回の攻撃はセキュア・バイ・デザインの原則の推進やサプライチェーンのセキュリティの向上、ネットワークのマイクロセグメント化、ゼロトラストアーキテクチャを展開する必要性を強調している」と回答した。
攻撃の結果、流出した情報の影響と範囲に関する調査は現在進行中である。
(注1)MITRE Response to Cyber Attack in One of Its R&D Networks(MITRE)
(注2)MITRE Response to Cyber Attack in One of Its R&D Networks(MITRE)
(注3)Ivanti Connect Secure devices face active exploitation, patch schedule staggered(Cybersecurity Dive)
(注4)CVER Program Mission(CVE)
(注5)Att&ck(MITRE Att&ck)
(注6)CISA attacked in Ivanti vulnerabilities exploit rush(Cybersecurity Dive)
(注7)Charles Clancy(LinkedIn)
(注8)Advanced Cyber Threats Impact Even the Most Prepared(Medium)
© Industry Dive. All rights reserved.
関連記事
- 2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。 - 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。 - Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。 - 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
一般提供が開始された生成AIチャットbot「Microsoft Copilot for Security」。これはセキュリティ業務の役に立つのだろうか。セキュリティ担当者が実際に使ってみたメリット/デメリットを語った。