Mitre wurde über Ivanti-Lücken angegriffen

23. April 2024 um 11:41
  • security
  • cyberangriff
  • Lücke
  • Mitre
  • ivanti
image
Foto: zVg

Hacker drangen in eine Forschungsumgebung der Organisation ein. Man habe unzureichende Massnahmen ergriffen, gesteht Mitre ein.

Ein Cyberangriff kann auch eine Organisation treffen, die im Zentrum der Bemühungen um sicherere Systeme steht. So geschehen im Fall von Mitre. Die Non-Profit-Organisation verwaltet die CVE-Datenbank für Schwachstellen, sie hat das Att&ck-Framework und das Center for Threat-Informed Defense für mehr Cybersicherheit mitgegründet. Mitre unterstützt auch zahlreiche US-Regierungsbehörden.
"Trotz unseres Engagements für den Schutz unserer digitalen Ressourcen haben wir eine Sicherheitsverletzung erlebt, die die Art der modernen Bedrohungen verdeutlicht", schreibt Mitre in einer Mitteilung. Man habe herausgefunden, dass die Forschungsumgebung Networked Experimentation, Research, and Virtualization Environment (NERVE) durch einen ausländischen nationalstaatlichen Bedrohungsakteur kompromittiert wurde.

Auch das Bacs warnte vor den Lücken

Der Angriff sei im Januar erfolgt, heisst es weiter. Und zwar, indem die Hacker zwei Schwachstellen in Ivanti Connect Secure ausgenutzt haben. Vor den Lücken CVE-2024-21887 und CVE-2023-46805 hatte auch das Schweizer Bundesamt für Cybersicherheit (Bacs) gewarnt. "Da diese Schwachstellen aktiv ausgenutzt werden, stellen sie eine Bedrohung für jede Organisation dar, die anfällige Ivanti Connect Secure und Policy Secure dem öffentlichen Internet aussetzt", erklärte das Bacs gegenüber inside-it.ch.
Mitre-CTO Charles Clancy äusserte sich auf Linkedin zum Ablauf der Attacke: "Die Angreifer haben Anfang Januar eine Ivanti Connect Secure Appliance am Netzwerkrand kompromittiert und sind seitlich in unsere VMware-Infrastruktur eingedrungen, bevor der Zero-Day-CVE offengelegt und gemeldet wurde."

"Massnahmen waren unzureichend"

Mitre schreibt weiter in einem Blogbeitrag, man sei den Empfehlungen des Herstellers und der US-Cybersicherheitsbehörde Cisa gefolgt, "unser Ivanti-System zu aktualisieren, zu ersetzen und zu härten". Aber: "Damals glaubten wir, dass wir alle notwendigen Massnahmen ergriffen hatten, um die Schwachstelle zu mindern, aber diese Massnahmen waren eindeutig unzureichend."
Der Blogbeitrag enthält weitere Informationen zu den beobachteten Angriffstechniken und Best-Practice-Tipps zur Erkennung. Die Untersuchung des Vorfalls sei noch nicht abgeschlossen, so Mitre, aber man werde sich in den kommenden Wochen eingehender mit den technischen Details des Angriffs befassen und sich dazu äussern. Aktuell gebe es keine Hinweise, "dass das zentrale Unternehmensnetzwerk von Mitre oder die Systeme von Partnern von diesem Vorfall betroffen waren."
Ivanti musste seit Jahresbeginn mehrere kritische Lücken bekanntgeben, die von Angreifern aktiv ausgenutzt werden. Anfang April reagierte das Unternehmen: "Die Ereignisse der letzten Monate waren demütigend", erklärte CEO Jeff Abbott in einem offenen Brief. Ivanti überprüfe seine Kernpraktiken in den Bereichen Technik, Sicherheit sowie Schwachstellenmanagement und ändere diese. Zudem sollen den Kunden Ressourcen zur Verfügung gestellt werden, damit sie Ivanti-Lösungen sicher einsetzen können.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1