MITRE、Ivantiのゼロデイ介して侵害されていた:CVE-2023-46805、CVE-2024-21887 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > MITRE、Ivantiのゼロデイ介して侵害されていた:CVE-2023-46805、CVE-2024-21887 

Threat Report

Ivanti

Silobreaker-CyberAlert

ゼロデイ

MITRE、Ivantiのゼロデイ介して侵害されていた:CVE-2023-46805、CVE-2024-21887 

佐々山 Tacos

佐々山 Tacos

2024.04.22

4月20~22日: サイバーセキュリティ関連ニュース

MITRE、Ivantiのゼロデイ介して侵害されていた:CVE-2023-46805、CVE-2024-21887 

The Record – April 20th, 2024

MITREは金曜、外国の国家型アクターによって今年1月に同団体のネットワークが侵害されていたことを明かした。攻撃では、IvantiのVPN製品Ivanti Connect Secureにおけるゼロデイ脆弱性CVE-2023-46805およびCVE-2024-21887が悪用され、偵察活動が行われたという。攻撃者が高度なバックドアとWebシェルを組み合わせて使用して永続性を維持し、認証情報を収集していたことなどがブログ記事で明かされた。侵害されたのは「ストレージ、コンピューティング、およびネットワーキングのリソースを提供するネットワーク」で、MITREのコアエンタープライズネットワークやパートナー組織のシステムに影響が及んだ様子はないとされる。

CVE-2023-46805およびCVE-2024-21887については以下の記事もご覧ください:Ivantiゼロデイ攻撃のハッカーはパッチ展開に備えた準備を実施か マルウェアが示す(CVE-2023-46805、CVE-2024-21887)

MITREのCTOであるClancy氏によれば、ネットワーク上のIvanti Connect Secureアプライアンスが侵害されたのは1月上旬で、上記脆弱性のCVEが開示/報告される前のことだったという。同氏は、Ivanti社およびCISAによるアドバイザリが公開された後、速やかに「入り口」は塞いだものの、「既にバックドアは開かれた後だった」と明かしている。具体的には、MITREはアドバイザリの内容に従ってシステムのアップグレード、交換、ハードニングを実施。これにより「脆弱性の緩和に必要な措置はすべて講じた」と思い込んでいたものの、実はその時点までにVMWareインフラへのラテラルムーブメントが実施されていたのだという。

インシデント調査は現在も継続中であるものの、MITREは、同団体のように最高レベルのサイバー成熟度を誇る組織であっても、技術力の高い脅威アクターの手にかかれば侵害されてしまう可能性はあるという事実を身をもって伝えることの重要性を感じ、この段階でのインシデント開示を決定。今回の経験を踏まえた他組織への推奨事項も併せて提供した。また、今後数週間以内により踏み込んだ内容の技術的詳細を公開予定であることも明かされている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ