A MITRE Corporation, uma organização de pesquisa e desenvolvimento, revelou ter sido alvo de um ataque cibernético de um estado-nação que explorou duas falhas zero-day no Ivanti Connect Secure, um sistema de Virtual Private Network (VPN).

O ataque, que começou em janeiro de 2024, resultou na violação de seu ambiente de experimentação e pesquisa, NERVE, uma rede não classificada usada para prototipagem e colaboração. O adversário desconhecido realizou reconhecimento das redes da MITRE, explorou as falhas no Ivanti Connect Secure para obter acesso ao sistema, contornou a autenticação multifator por meio de sequestro de sessão, e se movimentou lateralmente para comprometer sua infraestrutura VMware usando uma conta de administrador comprometida.

Após ganhar acesso, eles implantaram backdoors e web shells para manter a persistência e coletar credenciais. As falhas exploradas foram identificadas como CVE-2023-46805 e CVE-2024-21887. O grupo de hackers responsável por este ataque foi rastreado sob o nome UTA0178, um ator estatal provavelmente associado à China.

A MITRE afirmou que não houve indicação de que sua rede principal ou os sistemas de seus parceiros foram afetados pelo incidente, mas ressaltou que está tomando medidas para conter o incidente e conduzir análises forenses para identificar a extensão do comprometimento. O presidente e CEO da MITRE, Jason Providakes, afirmou que a organização está divulgando o incidente para manter seu compromisso com a transparência e para defender melhores práticas que possam aprimorar a segurança cibernética.