El 19 de abril de 2024, el MITRE Corporation anunció que fue víctima de un ataque cibernético por parte de un grupo patrocinado por el estado, el cual utilizó dos vulnerabilidades zero-day de Ivanti VPN para comprometer su red. El ataque fue descubierto en enero de 2024 tras detectar actividad sospechosa en el entorno de experimentación y desarrollo conocido como NERVE. Este evento plantea serias preocupaciones sobre la seguridad incluso para las organizaciones más comprometidas con la ciberseguridad.
Detalles del Ataque
Según MITRE, el ataque fue perpetrado al encadenar dos vulnerabilidades zero-day en Ivanti Connect Secure: una de omisión de autenticación (CVE-2023-46805) y otra de inyección de comandos (CVE-2024-21887). Los atacantes pudieron superar la autenticación multifactor (MFA) mediante el secuestro de sesiones, lo que les permitió moverse lateralmente por la infraestructura de VMware de MITRE utilizando una cuenta de administrador comprometida.
Además, los atacantes utilizaron una combinación de webshells y puertas traseras para mantener el acceso a los sistemas comprometidos y cosechar credenciales. Afortunadamente, el incidente no afectó la red principal de MITRE ni a los sistemas de sus socios.
Respuesta de MITRE y Recomendaciones
MITRE respondió de inmediato al ataque, notificando a las partes afectadas y contactando a las autoridades pertinentes. La organización también está trabajando en la restauración de sus sistemas y operaciones alternativas.
El CEO de MITRE, Jason Providakes, destacó la importancia de la transparencia y la colaboración en la lucha contra el cibercrimen: “Estamos divulgando este incidente de manera oportuna debido a nuestro compromiso de operar en el interés público y abogar por las mejores prácticas para mejorar la seguridad empresarial, así como para tomar las medidas necesarias para mejorar la postura actual de defensa cibernética de la industria”.
Vinculaciones con Grupos APT y Medidas de Mitigación
La empresa de ciberseguridad Mandiant vinculó el ataque a un grupo de amenazas persistentes avanzadas (APT) conocido como UNC5221. Por otro lado, Volexity informó que actores patrocinados por el estado chino explotaron las mismas vulnerabilidades para backdoorear más de 2,100 dispositivos Ivanti, robando datos de cuenta y sesión de diversas redes comprometidas.
Debido a la gran cantidad de dispositivos comprometidos y el extenso alcance del ataque, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió su primera directiva de emergencia del año el 19 de enero, ordenando a las agencias federales mitigar las vulnerabilidades de Ivanti de inmediato.
Conclusiones
Esta brecha de seguridad en MITRE destaca que ninguna organización es completamente inmune a los ataques cibernéticos, incluso aquellas que mantienen altos estándares de ciberseguridad. Los incidentes recientes subrayan la importancia de medidas proactivas, colaboración entre empresas y la rápida implementación de parches y mitigaciones para protegerse contra amenazas persistentes y sofisticadas.