MITRE

資安業者Ivanti自今年1月開始公布多個Connect Secure、Policy Secure零時差漏洞，且陸續被研究人員證實用於攻擊行動。繼美國網路安全暨基礎設施安全局（CISA）傳出遭遇相關攻擊，又有資安機構也證實受害。

4月19日MITRE指出他們用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境（NERVE）」遭到外國駭客入侵，該機構察覺後即切斷駭客存取的管道，其資安團隊尋求外部數位鑑識團隊合作，對此事故進行調查。

攻擊者在今年1月對MITRE的網路進行偵察，透過2個Connect Secure漏洞存取其中一個VPN網路系統，並挾持連線階段（Session）繞過雙因素驗證流程。接著，對方進行橫向移動，利用外流的管理者帳號挖掘他們的VMware虛擬化環境基礎設施。過程中駭客利用複雜的後門程式及Web Shell，以便持續存取MITRE內部的網路環境，並取得帳密資料。

MITRE指出，雖然他們已經遵循最佳實作、廠商指引、政府相關建議來提升Ivanti系統的資安強度，但他們並未察覺攻擊者橫向移動到VMware基礎設施，坦承目前採取的措施仍有所不足。該公司已採取一系列的事件回應計畫，並公布事件偵測及網路強化最佳實務建議。