Kinesiske Volt Typhoon-hackere slår til igen i kritisk nul-dages angreb, der truer netværkssikkerhed
I en foruroligende udvikling har cybersikkerhedseksperter hos Lumen Technologies afsløret en ny bølge af cyberangreb fra den kinesiske hackergruppe Volt Typhoon , der udnytter en alvorlig sårbarhed i Versa Director-servere. Denne nul-dages fejl, identificeret som CVE-2024-39717, udgør en alvorlig trussel, især for internetudbydere (ISP'er) og administrerede tjenesteudbydere (MSP'er), hvis netværk er i fare for at blive infiltreret.
Sårbarheden blev for nylig tilføjet til CISA's must-patch-liste, hvilket signalerer dens kritiske karakter. Versa Networks bekræftede, at fejlen tillader angribere at bryde Versa Directors grafiske brugergrænseflade (GUI) og implementere malware på kompromitterede enheder. Versa Director-servere, som er afgørende for styring af netværkskonfigurationer i SD-WAN-software, er nu primære mål for disse sofistikerede cyberkriminelle.
Volt Typhoon, en gruppe med bånd til den kinesiske regering, er blevet sat i forbindelse med udnyttelsen af denne sårbarhed. Lumen Technologies' Black Lotus Labs-team opdagede en unik web-shell, der blev brugt til at kapre legitimationsoplysninger og få uautoriseret adgang til netværk af downstream-kunder. Gruppens aktiviteter er sporet tilbage til 12. juni 2024, og de fortsætter med at skabe kaos på flere amerikanske organisationer, især inden for ISP-, MSP- og IT-sektoren.
Konsekvenserne af dette brud er alvorlige. Volt Typhoons historie er fyldt med angreb på kritisk infrastruktur på tværs af forskellige sektorer, herunder kommunikation, forsyningsselskaber, transport og regering. Deres metoder er sofistikerede, og deres kampagner er målrettede, hvilket efterlader adskillige organisationer sårbare over for ødelæggende konsekvenser.
Versa Networks har erkendt et tilfælde, hvor sårbarheden blev udnyttet på grund af forældede firewall-retningslinjer, som ikke var blevet implementeret af en kunde. Dette tilsyn gjorde det muligt for angriberne at udnytte fejlen uden at skulle have adgang til GUI. Selvom Versa Networks ser ud til at flytte noget ansvar over på ofreorganisationer for disse konfigurationsfejl, er virkeligheden, at denne sårbarhed udgør en betydelig fare for alle berørte netværk.
Black Lotus Labs-teamet har slået alarm og advarer om, at Volt Typhoons kampagne sandsynligvis fortsætter mod ikke-patchede Versa Director-systemer. Med gruppens kendte taktik og den voksende sofistikering af deres angreb, er det bydende nødvendigt, at organisationer tager øjeblikkelige skridt for at sikre deres netværk.
Det fulde omfang af denne trussel er endnu ikke fuldt ud forstået, men konsekvenserne kan være katastrofale, hvis de ikke behandles. Black Lotus Labs-teamet forventes at udgive detaljeret teknisk dokumentation, herunder Indicators of Compromise (IOC'er) og telemetridata, for at hjælpe organisationer med at identificere og mindske de risici, som denne udnyttelse udgør.
I lyset af denne alarmerende situation opfordres alle organisationer, der bruger Versa Director-servere, til straks at reparere deres systemer og gennemgå deres sikkerhedskonfigurationer. Faren er reel, og indsatsen er høj - undladelse af at handle kan resultere i et brud, der kan lamme kritisk infrastruktur og kompromittere følsomme data. Uret tikker, og tiden til at handle er nu.
