Victime d’une faille d’Ivanti, le Mitre dénonce l’agression par un acteur de type État-nation

Le Mitre a déclaré vendredi avoir subi une violation de données par le biais d’un « acteur de la menace d’un État-nation étranger » qui a exploité deux vulnérabilités zero-day d’Ivanti éventées au début de l’année.

Le Mitre est une organisation de recherche et de développement à but non lucratif qui se concentre sur plusieurs secteurs, notamment l’aérospatiale, l’IA et la défense. Dans le domaine de la cybersécurité, l’entreprise gère le système CVE et a développé un certain nombre de cadres de sécurité standard tels que ATT&CK. Elle publie régulièrement une évaluation des EDR.

Le 19 avril, le Mitre a donc révélé l’existence d’une brèche par le biais d’un communiqué de presse sur son site web et d’un article de blog sur Medium. Dans le communiqué de presse, l’entreprise a déclaré avoir confirmé une compromission après avoir détecté une activité suspecte dans son réseau de R&D collaboratif Nerve, abréviation de Networked Experimentation, Research, and Virtualization Environment (environnement d’expérimentation, de recherche et de virtualisation en réseau).

« Suite à la détection de l’incident, Mitre a pris des mesures rapides pour contenir l’incident, y compris la mise hors ligne de l’environnement Nerve, et a rapidement lancé une enquête avec le soutien d’experts internes et d’experts tiers expérimentés. L’enquête se poursuit actuellement, notamment pour déterminer l’étendue des informations susceptibles d’être impliquées », peut-on lire dans le communiqué de presse.

Jason Providakes, président-directeur général du Mitre, explique que l’entreprise avait décidé de divulguer l’incident en temps opportun « en raison de notre engagement à agir dans l’intérêt public et à défendre les meilleures pratiques qui renforcent la sécurité des entreprises, ainsi que les mesures nécessaires pour améliorer la position actuelle du secteur en matière de cyberdéfense ».

Selon l’article publié sur Medium par Lex Crumpton, ingénieur principal en cybersécurité chez Mitre, et Charles Clancy, directeur de la technologie, des acteurs menaçants ont obtenu l’accès à partir de janvier via deux vulnérabilités zero-day d’Ivanti Connect Secure – une faille de contournement d’authentification, répertoriée comme CVE-2023-46805, et une vulnérabilité d’injection de commande, répertoriée comme CVE-2024-21887. Ces vulnérabilités ont été largement exploitées au début de l’année et des centaines d’organisations ont été compromises en conséquence, y compris le CISA, Agence américaine de cybersécurité.

Pour rappel, dès le mois de janvier, plus d’une centaine de victimes avaient été recensées seulement en France.

« À partir de janvier 2024, un acteur de la menace a effectué une reconnaissance de nos réseaux, exploité l’un de nos réseaux privés virtuels (VPN) par le biais de deux vulnérabilités Zero-day Ivanti Connect Secure, et a contourné notre authentification multifactorielle en utilisant le détournement de session », peut-on lire dans le message. « De là, ils se sont déplacés latéralement et ont creusé profondément dans l’infrastructure VMware de notre réseau à l’aide d’un compte administrateur compromis. Ils ont utilisé une combinaison de portes dérobées sophistiquées et de webshells pour maintenir la persistance et récolter des informations d’identification. »

Lex Crumpton et Charles Clancy expliquent que l’entreprise a réagi aux premières révélations sur les vulnérabilités d’Ivanti Connect Secure dès janvier.

« MITRE a suivi les meilleures pratiques, les instructions des fournisseurs et les conseils du gouvernement pour mettre à niveau, remplacer et renforcer notre système Ivanti, mais nous n’avons pas détecté le mouvement latéral dans notre infrastructure VMware », écrivent les auteurs. « À l’époque, nous pensions avoir pris toutes les mesures nécessaires pour atténuer la vulnérabilité, mais ces mesures étaient clairement insuffisantes. »

Bien que Mitre n’ait pas nommé l’acteur de menace spécifique à l’origine de l’attaque, Charles Clancy a fait référence à « un acteur de la menace sophistiqué de type État-nation » dans un message vidéo joint au communiqué de presse. Il y indique que l’acteur responsable a compromis « plus de 1 700 organisations », dont le Mitre.

Il semblerait (sans que les porte-parole du Mitre souhaitent apporter de précisions) que l’acteur de la menace soit Chine-Nexus UNC5221, un acteur défini comme de niveau « État-Nation » et décrit en détail dans une recherche de Mandiant publiée en janvier.