Chinesische Volt Typhoon-Hacker schlagen erneut zu und führen einen kritischen Zero-Day-Angriff aus, der die Netzwerksicherheit bedroht

In einer beunruhigenden Entwicklung haben Cybersicherheitsexperten bei Lumen Technologies eine neue Welle von Cyberangriffen der chinesischen Hackergruppe Volt Typhoon aufgedeckt, die eine schwerwiegende Schwachstelle in Versa Director-Servern ausnutzt. Dieser Zero-Day-Fehler mit der Bezeichnung CVE-2024-39717 stellt eine ernsthafte Bedrohung dar, insbesondere für Internetdienstanbieter (ISPs) und Managed Service Provider (MSPs), deren Netzwerke dem Risiko einer Infiltration ausgesetzt sind.

Die Schwachstelle wurde kürzlich zur Must-Patch-Liste der CISA hinzugefügt, was auf ihre kritische Natur hinweist. Versa Networks bestätigte, dass der Fehler es Angreifern ermöglicht, in die grafische Benutzeroberfläche (GUI) von Versa Director einzudringen und Malware auf kompromittierten Geräten zu installieren. Versa Director-Server, die für die Verwaltung von Netzwerkkonfigurationen in SD-WAN-Software von entscheidender Bedeutung sind, sind nun Hauptziele dieser raffinierten Cyberkriminellen.

Volt Typhoon, eine Gruppe mit Verbindungen zur chinesischen Regierung, wurde mit der Ausnutzung dieser Schwachstelle in Verbindung gebracht. Das Black Lotus Labs-Team von Lumen Technologies entdeckte eine einzigartige Web-Shell, die verwendet wurde, um Anmeldeinformationen zu kapern und unbefugten Zugriff auf die Netzwerke nachgelagerter Kunden zu erhalten. Die Aktivitäten der Gruppe wurden bis zum 12. Juni 2024 zurückverfolgt und sie richten weiterhin Chaos in mehreren US-Organisationen an, insbesondere in den Bereichen ISP, MSP und IT.

Die Folgen dieses Angriffs sind gravierend. Volt Typhoon hat in seiner Vergangenheit zahlreiche Angriffe auf kritische Infrastrukturen in verschiedenen Sektoren durchgeführt, darunter Kommunikation, Versorgung, Transport und Regierung. Ihre Methoden sind ausgefeilt und ihre Kampagnen zielgerichtet, wodurch zahlreiche Organisationen verheerenden Folgen ausgesetzt sind.

Versa Networks hat einen Fall bestätigt, in dem die Schwachstelle ausgenutzt wurde, weil ein Kunde veraltete Firewall-Richtlinien nicht implementiert hatte. Dieses Versehen ermöglichte es den Angreifern, die Schwachstelle auszunutzen, ohne auf die GUI zugreifen zu müssen. Während Versa Networks die Verantwortung für diese Konfigurationsfehler teilweise auf die betroffenen Organisationen abzuwälzen scheint, stellt diese Schwachstelle in Wirklichkeit eine erhebliche Gefahr für alle betroffenen Netzwerke dar.

Das Team von Black Lotus Labs hat Alarm geschlagen und gewarnt, dass die Kampagne von Volt Typhoon wahrscheinlich gegen ungepatchte Versa Director-Systeme gerichtet ist. Angesichts der bekannten Taktiken der Gruppe und der zunehmenden Raffinesse ihrer Angriffe ist es für Unternehmen unerlässlich, sofort Maßnahmen zu ergreifen, um ihre Netzwerke zu sichern.

Das volle Ausmaß dieser Bedrohung ist noch nicht vollständig erforscht, aber die Folgen könnten katastrophal sein, wenn nichts unternommen wird. Das Team von Black Lotus Labs wird voraussichtlich detaillierte technische Dokumentationen veröffentlichen, darunter Indikatoren für Kompromittierung (IOCs) und Telemetriedaten, um Organisationen dabei zu helfen, die von diesem Exploit ausgehenden Risiken zu identifizieren und zu mindern.

Angesichts dieser alarmierenden Situation werden alle Organisationen, die Versa Director-Server verwenden, dringend gebeten, ihre Systeme umgehend zu patchen und ihre Sicherheitskonfigurationen zu überprüfen. Die Gefahr ist real und es steht viel auf dem Spiel – wenn nichts unternommen wird, kann es zu einem Verstoß kommen, der kritische Infrastrukturen lahmlegt und vertrauliche Daten gefährdet. Die Uhr tickt und jetzt ist es an der Zeit zu handeln.