Mitre wurde über Ivanti-Lücken angegriffen

23. April 2024 um 11:41
  • security
  • cyberangriff
  • Lücke
  • Mitre
  • ivanti
image
Foto: zVg

Hacker drangen in eine Forschungsumgebung der Organisation ein. Man habe unzureichende Massnahmen ergriffen, gesteht Mitre ein.

Ein Cyberangriff kann auch eine Organisation treffen, die im Zentrum der Bemühungen um sicherere Systeme steht. So geschehen im Fall von Mitre. Die Non-Profit-Organisation verwaltet die CVE-Datenbank für Schwachstellen, sie hat das Att&ck-Framework und das Center for Threat-Informed Defense für mehr Cybersicherheit mitgegründet. Mitre unterstützt auch zahlreiche US-Regierungsbehörden.
"Trotz unseres Engagements für den Schutz unserer digitalen Ressourcen haben wir eine Sicherheitsverletzung erlebt, die die Art der modernen Bedrohungen verdeutlicht", schreibt Mitre in einer Mitteilung. Man habe herausgefunden, dass die Forschungsumgebung Networked Experimentation, Research, and Virtualization Environment (NERVE) durch einen ausländischen nationalstaatlichen Bedrohungsakteur kompromittiert wurde.

Auch das Bacs warnte vor den Lücken

Der Angriff sei im Januar erfolgt, heisst es weiter. Und zwar, indem die Hacker zwei Schwachstellen in Ivanti Connect Secure ausgenutzt haben. Vor den Lücken CVE-2024-21887 und CVE-2023-46805 hatte auch das Schweizer Bundesamt für Cybersicherheit (Bacs) gewarnt. "Da diese Schwachstellen aktiv ausgenutzt werden, stellen sie eine Bedrohung für jede Organisation dar, die anfällige Ivanti Connect Secure und Policy Secure dem öffentlichen Internet aussetzt", erklärte das Bacs gegenüber inside-it.ch.
Mitre-CTO Charles Clancy äusserte sich auf Linkedin zum Ablauf der Attacke: "Die Angreifer haben Anfang Januar eine Ivanti Connect Secure Appliance am Netzwerkrand kompromittiert und sind seitlich in unsere VMware-Infrastruktur eingedrungen, bevor der Zero-Day-CVE offengelegt und gemeldet wurde."

"Massnahmen waren unzureichend"

Mitre schreibt weiter in einem Blogbeitrag, man sei den Empfehlungen des Herstellers und der US-Cybersicherheitsbehörde Cisa gefolgt, "unser Ivanti-System zu aktualisieren, zu ersetzen und zu härten". Aber: "Damals glaubten wir, dass wir alle notwendigen Massnahmen ergriffen hatten, um die Schwachstelle zu mindern, aber diese Massnahmen waren eindeutig unzureichend."
Der Blogbeitrag enthält weitere Informationen zu den beobachteten Angriffstechniken und Best-Practice-Tipps zur Erkennung. Die Untersuchung des Vorfalls sei noch nicht abgeschlossen, so Mitre, aber man werde sich in den kommenden Wochen eingehender mit den technischen Details des Angriffs befassen und sich dazu äussern. Aktuell gebe es keine Hinweise, "dass das zentrale Unternehmensnetzwerk von Mitre oder die Systeme von Partnern von diesem Vorfall betroffen waren."
Ivanti musste seit Jahresbeginn mehrere kritische Lücken bekanntgeben, die von Angreifern aktiv ausgenutzt werden. Anfang April reagierte das Unternehmen: "Die Ereignisse der letzten Monate waren demütigend", erklärte CEO Jeff Abbott in einem offenen Brief. Ivanti überprüfe seine Kernpraktiken in den Bereichen Technik, Sicherheit sowie Schwachstellenmanagement und ändere diese. Zudem sollen den Kunden Ressourcen zur Verfügung gestellt werden, damit sie Ivanti-Lösungen sicher einsetzen können.

Loading

Mehr zum Thema

image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024
image

Sicherheitslücke in Aargauer Easytax-Version

Der Kanton warnt. Vorhandene Versionen sollten gelöscht werden.

publiziert am 29.11.2024