Οι χάκερ της κινεζικής Volt Typhoon χτυπούν ξανά σε κρίσιμη επίθεση μηδενικής ημέρας που απειλεί την ασφάλεια του δικτύου

Σε μια ανησυχητική εξέλιξη, ειδικοί στον κυβερνοχώρο της Lumen Technologies ανακάλυψαν ένα νέο κύμα κυβερνοεπιθέσεων από την κινεζική ομάδα hacking Volt Typhoon , εκμεταλλευόμενη μια σοβαρή ευπάθεια στους διακομιστές Versa Director. Αυτό το ελάττωμα μηδενικής ημέρας, που προσδιορίζεται ως CVE-2024-39717, αποτελεί σοβαρή απειλή, ειδικά για τους παρόχους υπηρεσιών διαδικτύου (ISP) και τους διαχειριζόμενους παρόχους υπηρεσιών (MSP), των οποίων τα δίκτυα κινδυνεύουν να διεισδύσουν.

Η ευπάθεια προστέθηκε πρόσφατα στη λίστα υποχρεωτικών επιδιορθώσεων της CISA, σηματοδοτώντας την κρίσιμη φύση της. Η Versa Networks επιβεβαίωσε ότι το ελάττωμα επιτρέπει στους εισβολείς να παραβιάσουν τη γραφική διεπαφή χρήστη (GUI) του Versa Director και να αναπτύξουν κακόβουλο λογισμικό σε παραβιασμένες συσκευές. Οι διακομιστές Versa Director, ζωτικής σημασίας για τη διαχείριση των διαμορφώσεων δικτύου στο λογισμικό SD-WAN, αποτελούν πλέον πρωταρχικούς στόχους για αυτούς τους εξελιγμένους κυβερνοεγκληματίες.

Η Volt Typhoon, μια ομάδα με δεσμούς με την κινεζική κυβέρνηση, έχει συνδεθεί με την εκμετάλλευση αυτής της ευπάθειας. Η ομάδα Black Lotus Labs της Lumen Technologies ανακάλυψε ένα μοναδικό κέλυφος ιστού που χρησιμοποιείται για την κλοπή διαπιστευτηρίων και την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε δίκτυα μεταγενέστερων πελατών. Οι δραστηριότητες του ομίλου έχουν εντοπιστεί στις 12 Ιουνίου 2024 και συνεχίζουν να προκαλούν τον όλεθρο σε αρκετούς οργανισμούς των ΗΠΑ, ιδιαίτερα στους τομείς ISP, MSP και IT.

Οι συνέπειες αυτής της παραβίασης είναι σοβαρές. Η ιστορία του Volt Typhoon είναι γεμάτη επιθέσεις σε υποδομές ζωτικής σημασίας σε διάφορους τομείς, συμπεριλαμβανομένων των επικοινωνιών, των υπηρεσιών κοινής ωφελείας, των μεταφορών και της κυβέρνησης. Οι μέθοδοί τους είναι εξελιγμένες και οι καμπάνιες τους στοχευμένες, αφήνοντας πολλούς οργανισμούς ευάλωτους σε καταστροφικές συνέπειες.

Η Versa Networks έχει αναγνωρίσει μια περίπτωση κατά την οποία έγινε εκμετάλλευση της ευπάθειας λόγω παρωχημένων οδηγιών τείχους προστασίας που δεν είχαν εφαρμοστεί από πελάτη. Αυτή η παράβλεψη επέτρεψε στους εισβολείς να εκμεταλλευτούν το ελάττωμα χωρίς να χρειάζεται να έχουν πρόσβαση στο GUI. Ενώ η Versa Networks φαίνεται να μεταθέτει κάποια ευθύνη σε οργανισμούς-θύματα για αυτά τα σφάλματα διαμόρφωσης, η πραγματικότητα είναι ότι αυτή η ευπάθεια παρουσιάζει σημαντικό κίνδυνο για όλα τα επηρεαζόμενα δίκτυα.

Η ομάδα της Black Lotus Labs έχει σημάνει συναγερμό, προειδοποιώντας ότι η εκστρατεία του Volt Typhoon είναι πιθανόν σε εξέλιξη ενάντια στα μη επιδιορθωμένα συστήματα Versa Director. Με τις γνωστές τακτικές της ομάδας και την αυξανόμενη πολυπλοκότητα των επιθέσεων τους, είναι επιτακτική ανάγκη οι οργανισμοί να αναλάβουν άμεση δράση για την ασφάλεια των δικτύων τους.

Το πλήρες εύρος αυτής της απειλής δεν έχει γίνει ακόμη πλήρως κατανοητό, αλλά οι συνέπειες θα μπορούσαν να είναι καταστροφικές εάν αφεθούν χωρίς αντιμετώπιση. Η ομάδα της Black Lotus Labs αναμένεται να δημοσιεύσει λεπτομερή τεχνική τεκμηρίωση, συμπεριλαμβανομένων Δεικτών Συμβιβασμού (IOC) και δεδομένων τηλεμετρίας, για να βοηθήσει τους οργανισμούς στον εντοπισμό και τον μετριασμό των κινδύνων που ενέχει αυτή η εκμετάλλευση.

Υπό το φως αυτής της ανησυχητικής κατάστασης, όλοι οι οργανισμοί που χρησιμοποιούν διακομιστές Versa Director καλούνται να επιδιορθώσουν αμέσως τα συστήματά τους και να επανεξετάσουν τις διαμορφώσεις ασφαλείας τους. Ο κίνδυνος είναι υπαρκτός και το διακύβευμα μεγάλο - η αποτυχία δράσης θα μπορούσε να οδηγήσει σε παραβίαση που θα μπορούσε να ακρωτηριάσει κρίσιμες υποδομές και να θέσει σε κίνδυνο ευαίσθητα δεδομένα. Το ρολόι χτυπάει και η ώρα για δράση είναι τώρα.