4min Security

MITRE ontdekte Chinese hack pas maanden na exploitatie

MITRE ontdekte Chinese hack pas maanden na exploitatie

In januari infiltreerden hackers een netwerk van MITRE Corporation. De aanvallers, vermoedelijk van Chinese origine en aangeduid als UTA0178, exploiteerden twee kwetsbaarheden in VPN-oplossing Ivanti Connect Secure. MITRE stelt dat het incident laat zien dat zelfs organisaties met de allerbeste voorbereiding getroffen kunnen worden. Maar is dat wel zo? Was de aanval niet te voorkomen?

Defensive Cyber Operations-onderzoeker bij MITRE Lex Crumpton en CTO Charles Clancy leggen uit hoe de organisatie werd getroffen. In januari infiltreerden hackers een VPN van MITRE door twee kwetsbaarheden in Ivanti Connect Secure te exploiteren. CVE-2023-46805 betreft een authentication-bypass, terwijl CVE-2024-21887 een command-injection kwetsbaarheid is. Gezamenlijk maken ze het “triviaal” om systeemopdrachten uit te voeren, aldus securityfirma Volexity in januari. De CVE’s werden op 12 januari gepubliceerd, maar vanuit MITRE is niet bekend wanneer de aanval exact plaatsvond.

De aanval was gericht op het zogeheten NERVE, het netwerk dat MITRE gebruikt voor R&D en prototyping. Cruciaal is dat MITRE de laterale beweging na de initiële infiltratie van dit netwerk niet traceerde. Het bedrijf was in januari in de veronderstelling dat het alle stappen had genomen om de kwetsbaarheden te mitigeren, maar “deze acties waren duidelijk niet voldoende,” geeft het zelf toe. Patches voor Ivanti Connect Secure verschenen later, maar toen hadden de aanvallers al elders een backdoor gecreëerd. Ook omzeilden ze MFA door gebruik te maken van session hijacking.

Gecompromitteerd admin-account

De sleutel naar succes voor de hackers was het inbreken in de VMware-infrastructuur. Daarbij exploiteerden de aanvallers een admin-account, dat al eerder gecompromitteerd was. Vervolgens kon de groep aan de slag met meer credential harvesting om de infiltratie voort te zetten.

MITRE was niet het enige slachtoffer van de Ivanti-kwetsbaarheden. Echter was de dreiging elders al duidelijker omschreven. Google’s Mandiant-team, niet de minste onder security-onderzoekers, publiceerde vier blogs tussen januari en april waarbij aanvallen op Ivanti Connect Secure en hun daders onder de loep werden genomen. Na een eerste blog ging Mandiant eind januari in detail met deel 2: zelfs na de door Ivanti aangereikte mitigatie bleef de Ivanti-oplossing exploiteerbaar. Er was dus voor MITRE genoeg reden om extra alert te zijn op dreigingen, waarbij het controleren op admin-activiteit hoger op het lijstje had mogen staan.

Eind februari, dus ruim voordat MITRE de aanvallers eindelijk in de smiezen had, onthulde Mandiant de aanvals- en verhullingstechnieken van UNC5325. MITRE hanteert een andere interne naam voor deze groep: UTA0178. Met andere woorden: Mandiant had feitelijk al de werkwijze van de MITRE-aanvallers omschreven.

Geen excuus

Hoewel de aanval lang niet zoveel impact lijkt te hebben gehad als de staatshacks op Microsoft, lijkt de retoriek bij de uitleg van MITRE hetzelfde als die van de techreus. De nadruk ligt op het feit dat óók de meest secure partijen getroffen worden, maar dat is alleen een geldige uitleg als de aanvallen duidelijk bijna niet te voorkomen waren. De exploitatie van Ivanti Connect Secure was echter geen act of God. De aanname mag bij het publiceren van dergelijke zero-days zijn dat je als organisatie (zeker een prominente) gecompromitteerd bent. Het verifiëren van admin-accounts en een algemeen alertere houding tegenover verdacht netwerkverkeer is essentieel.

Patchbeheer en het volgen van mitigaties zijn dan ook niet de enige middelen om VPN’s te beschermen. Zo leggen de makers van ManageEngine Log360 uit dat regelmatige threat hunting-activiteiten nodig zijn bij het gebruik van een VPN-infrastructuur. Dit omdat ze inherent gevaren met zich meebrengen, aangezien ze gebruikt worden om op externe locaties verbinding te maken met bedrijfsgegevens. Ook zouden tekenen van session hijhacking, hoe subtiel ook, tot een eerdere detectie hebben kunnen leiden.

Dit alles klinkt alsof we wel erg hoge security-eisen stellen voor organisaties. Toch mogen we van een partij als MITRE de allerhoogste securitystandaarden verwachten. Immers adviseert het de Amerikaanse overheid over securitypraktijken en houdt het via ATT&CK bij hoe aanvallers wereldwijd te werk gaan. Sterker nog, het publiceert meermaals per jaar hoe goed security tooling van commerciële bedrijven het doet tegen (geavanceerde) aanvallen. Op dat laatste front lijken ze onder de streep niet snel genoeg in hun eigen achtertuin te hebben gekeken. Het voordeel is dat een infiltratie deze keer weinig schade lijkt te hebben opgeleverd, hoewel nog niet alle details zijn gedeeld.

Lees ook: Een kijkje in het werk van een hacker