MITRE

资安业者Ivanti自今年1月开始公布多个Connect Secure、Policy Secure零时差漏洞，且陆续被研究人员证实用于攻击行动。继美国网路安全暨基础设施安全局（CISA）传出遭遇相关攻击，又有资安机构也证实受害。

4月19日MITRE指出他们用于研究、开发、原型设计的协作网路环境「网路实验、研究及虚拟化环境（NERVE）」遭到外国骇客入侵，该机构察觉后即切断骇客存取的管道，其资安团队寻求外部数位鉴识团队合作，对此事故进行调查。

攻击者在今年1月对MITRE的网路进行侦察，透过2个Connect Secure漏洞存取其中一个VPN网路系统，并挟持连线阶段（Session）绕过双因素验证流程。接着，对方进行横向移动，利用外流的管理者帐号挖掘他们的VMware虚拟化环境基础设施。过程中骇客利用複杂的后门程式及Web Shell，以便持续存取MITRE内部的网路环境，并取得帐密资料。

MITRE指出，虽然他们已经遵循最佳实作、厂商指引、政府相关建议来提升Ivanti系统的资安强度，但他们并未察觉攻击者横向移动到VMware基础设施，坦承目前採取的措施仍有所不足。该公司已採取一系列的事件回应计画，并公布事件侦测及网路强化最佳实务建议。