Ein Cyberangriff kann auch eine Organisation treffen, die im Zentrum der Bemühungen um sicherere Systeme steht. So geschehen im Fall von Mitre. Die Non-Profit-Organisation verwaltet die CVE-Datenbank für Schwachstellen, sie hat das Att&ck-Framework und das Center for Threat-Informed Defense für mehr Cybersicherheit mitgegründet. Mitre unterstützt auch zahlreiche US-Regierungsbehörden.
"Trotz unseres Engagements für den Schutz unserer digitalen Ressourcen haben wir eine Sicherheitsverletzung erlebt, die die Art der modernen Bedrohungen verdeutlicht", schreibt Mitre in einer Mitteilung. Man habe herausgefunden, dass die Forschungsumgebung Networked Experimentation, Research, and Virtualization Environment (NERVE) durch einen ausländischen nationalstaatlichen Bedrohungsakteur kompromittiert wurde.
Auch das Bacs warnte vor den Lücken
Der Angriff sei im Januar erfolgt, heisst es weiter. Und zwar, indem die Hacker zwei Schwachstellen in Ivanti Connect Secure ausgenutzt haben. Vor den Lücken
CVE-2024-21887 und
CVE-2023-46805 hatte auch das Schweizer Bundesamt für Cybersicherheit (Bacs) gewarnt. "Da diese Schwachstellen aktiv ausgenutzt werden, stellen sie eine Bedrohung für jede Organisation dar, die anfällige Ivanti Connect Secure und Policy Secure dem öffentlichen Internet aussetzt", erklärte
das Bacs gegenüber inside-it.ch.Mitre-CTO Charles Clancy äusserte sich auf Linkedin zum Ablauf der Attacke: "Die Angreifer haben Anfang Januar eine Ivanti Connect Secure Appliance am Netzwerkrand kompromittiert und sind seitlich in unsere VMware-Infrastruktur eingedrungen, bevor der Zero-Day-CVE offengelegt und gemeldet wurde."
"Massnahmen waren unzureichend"
Mitre schreibt weiter in einem Blogbeitrag, man sei den Empfehlungen des Herstellers und der US-Cybersicherheitsbehörde Cisa gefolgt, "unser Ivanti-System zu aktualisieren, zu ersetzen und zu härten". Aber: "Damals glaubten wir, dass wir alle notwendigen Massnahmen ergriffen hatten, um die Schwachstelle zu mindern, aber diese Massnahmen waren eindeutig unzureichend."
Der Blogbeitrag enthält weitere Informationen zu den beobachteten Angriffstechniken und Best-Practice-Tipps zur Erkennung. Die Untersuchung des Vorfalls sei noch nicht abgeschlossen, so Mitre, aber man werde sich in den kommenden Wochen eingehender mit den technischen Details des Angriffs befassen und sich dazu äussern. Aktuell gebe es keine Hinweise, "dass das zentrale Unternehmensnetzwerk von Mitre oder die Systeme von Partnern von diesem Vorfall betroffen waren."
Ivanti musste seit Jahresbeginn mehrere kritische Lücken bekanntgeben, die von Angreifern aktiv ausgenutzt werden. Anfang April
reagierte das Unternehmen: "Die Ereignisse der letzten Monate waren demütigend", erklärte CEO Jeff Abbott in einem offenen Brief. Ivanti überprüfe seine Kernpraktiken in den Bereichen Technik, Sicherheit sowie Schwachstellenmanagement und ändere diese. Zudem sollen den Kunden Ressourcen zur Verfügung gestellt werden, damit sie Ivanti-Lösungen sicher einsetzen können.