MITRE遭遇国家级攻击，VPN安全隐患曝光

重要摘要

• MITRE Corporation 最近披露其未分类的研究和原型网路遭到未透露的国家级攻击者入侵。
• 攻击者利用 Ivanti Connect Secure 两个零日漏洞，绕过多因素身份验证并进入MITRE的VMware基础设施。
• 此次事件显示出国家级攻击的高端技术和资源，未来可能对安全研究及合作项目造成影响。
• MITRE计划与安全产业分享其经验，以提升行业整体防御能力。

上周，MITRE Corporation 宣布其未分类的研究及原型网路遭到不明国家级攻击者的入侵。MITRE 的首席网络安全工程师 Lex Crumpton在一篇 中表示，从

开始，一名攻击者对MITRE的网络进行了侦察，并利用组织的一个VPN且透过两个 进行攻击。

Crumpton 提到，攻击者在利用会话劫持绕过MITRE的多因素身份验证后，进一步移动至MITRE的 VMware基础设施，利用被入侵的管理员帐号进行横向移动。其后，他们利用复杂的后门和网络 shell 维持持久性并收集凭证。

“MITRE 依循最佳实践与厂商建议，并根据政府的指导升级、替换及加固我们的 Ivanti 系统，但我们未能侦测到在 VMware 基础设施中的横向移动，” Crumpton 表示。“当时我们相信已采取所有必要的行动以降低漏洞风险，但显然这些行动不够充分。”

Critical Start 的高级威胁研究经理 Callie Guenther 和一位 解释说，对 的利用表明了国家级攻击者的高水平技术和资源。

被利用的漏洞 ( 和 ) 允许攻击者绕过身份验证并执行任意命令，Guenther 指出这些都是CVSS评分为8.2和9.1的严重漏洞。

为何针对 NERVE 进行攻击

此次攻击针对的是 MITRE 的网络实验、研究和虚拟化环境，即知名的 NERVE。Bambenek Consulting 的总裁 John Bambenek解释说，NERVE 是为了让第三方快速进行研究而设立的快速原型环境，这可以节省在正式生产环境中进行许多层级审核的时间。

“这有点像一家企业在开发环境里减少控制以促进更快的发展，”Bambenek解释说。

虽然 NERVE 被描述为未分类的网路，提供存储、计算和网络资源，但其在促进研究和原型方面的作用可能意味著它含有关于实验技术或方法论的宝贵数据，根据 Critical Start 的 Guenther 说法。尽管声明为未分类，Guenther