Après l'agence nationale de la sécurité des systèmes d'information américaine (CISA), c'est au tour d'un autre poids-lourd de la prévention des risques en cybersécurité de faire l'objet d'une attaque informatique par le biais d'exploit de failles Ivanti. A l'origine du framework Att&ck - mais également du programme CVE et du listing CWE - l'organisme américain à but non lucratif créé en 1958 a expliqué avoir détecté une intrusion sur l'un de ses systèmes. En l'occurrence, un environnement collaboratif non classifié (NERVE) fournissant des ressources de stockage, calcul et réseau utilisé pour la R&D et le prototypage. "La compromission par un groupe épaulé par un État étranger a été confirmée", a annoncé MITRE.

Suite à cette découverte, la société a mis hors ligne cet environnement et procédé à l'isolation de ses systèmes et segments réseaux affectés. Une série d'analyses forensics a également été lancée pour identifier le périmètre de la compromission, les techniques employées et déterminer si elle était limitée à ce réseau de recherche ou bien étendue à d'autres. "Aucune entreprise n'est à l'abri de ce type de cyberattaque, pas même celle qui s'efforce de maintenir la plus haute cybersécurité possible", a déclaré Jason Providakes, CEO de MITRE. "Nous divulguons cet incident en temps opportun en raison de notre engagement à agir dans l'intérêt public et à préconiser les meilleures pratiques qui renforcent la sécurité des entreprises ainsi que les mesures nécessaires pour améliorer la posture de cyberdéfense actuelle de l'industrie".

Des mesures d'atténuation largement insuffisantes

Dans un billet de blog, MITRE a fait savoir que ce piratage remontait à janvier 2024 et que le groupe de cybercriminels a effectué une reconnaissance des réseaux de l'organisme et exploité deux failles zero day dans un de ses réseaux VPN Ivanti Connect Secure. L'acteur malveillant a aussi réussi à déjouer l'authentification multi-facteurs en piratant une session. "A partir de là, ils se sont déplacés latéralement et ont creusé profondément dans l'infrastructure VMware de notre réseau à l'aide d'un compte administrateur compromis. Ils ont utilisé une combinaison de portes dérobées sophistiquées et de webshells pour maintenir la persistance et récolter les informations d'identification", indique MITRE. L'organisme reconnait avoir été aveugle sur ce mouvement latéral en dépit des mesures d'atténuation qualifiées rétrospectivement comme "clairement insuffisantes".

Reconnaissant ses faiblesses - eu égard également à la puissance d'un attaquant ayant bénéficié d'un soutien de niveau étatique - MITRE annonce plusieurs évolutions notables pour muscler sa cybersécurité. En premier lieu, il a mis en place un examen approfondi de sa posture de sécurité (passage en revue des failles, tests de pénétration...), l'amélioration de ses programmes de formation et de sensibilisation de ses employés, ainsi que l'installation de mesures de sécurité supplémentaires suite à cet incident. A noter que l'organisme prévoit de publier prochainement des détails techniques sur cette attaque, donner un aperçu des tactiques employées ainsi que ses évolutions de sécurité pour faire face aux cybermenaces.