Los piratas informáticos chinos del sistema Volt Typhoon vuelven a atacar en un ataque de día cero crítico que amenaza la seguridad de la red
En un desarrollo inquietante, los expertos en ciberseguridad de Lumen Technologies han descubierto una nueva ola de ciberataques por parte del grupo de hackers chino Volt Typhoon , que explota una vulnerabilidad grave en los servidores de Versa Director. Esta falla de día cero, identificada como CVE-2024-39717, representa una amenaza grave, especialmente para los proveedores de servicios de Internet (ISP) y los proveedores de servicios gestionados (MSP), cuyas redes corren el riesgo de ser infiltradas.
La vulnerabilidad se agregó recientemente a la lista de parches obligatorios de la CISA, lo que indica su naturaleza crítica. Versa Networks confirmó que la falla permite a los atacantes violar la interfaz gráfica de usuario (GUI) de Versa Director e implementar malware en los dispositivos afectados. Los servidores de Versa Director, vitales para administrar las configuraciones de red en el software SD-WAN, ahora son los principales objetivos de estos sofisticados cibercriminales.
Volt Typhoon, un grupo vinculado al gobierno chino, ha sido vinculado a la explotación de esta vulnerabilidad. El equipo Black Lotus Labs de Lumen Technologies descubrió un shell web único que se utiliza para secuestrar credenciales y obtener acceso no autorizado a las redes de los clientes posteriores. Las actividades del grupo se remontan al 12 de junio de 2024 y siguen causando estragos en varias organizaciones estadounidenses, en particular en los sectores de ISP, MSP y TI.
Las ramificaciones de esta brecha son graves. El historial de Volt Typhoon está plagado de ataques a infraestructuras críticas en varios sectores, incluidos las comunicaciones, los servicios públicos, el transporte y el gobierno. Sus métodos son sofisticados y sus campañas están dirigidas a objetivos específicos, lo que deja a numerosas organizaciones vulnerables a consecuencias devastadoras.
Versa Networks ha reconocido un caso en el que se explotó la vulnerabilidad debido a unas directrices de firewall obsoletas que no habían sido implementadas por un cliente. Este descuido permitió a los atacantes explotar la falla sin necesidad de acceder a la interfaz gráfica de usuario. Si bien Versa Networks parece trasladar parte de la responsabilidad a las organizaciones víctimas por estos errores de configuración, la realidad es que esta vulnerabilidad presenta un peligro significativo para todas las redes afectadas.
El equipo de Black Lotus Labs ha dado la voz de alarma y ha advertido de que es probable que la campaña de Volt Typhoon siga en marcha contra los sistemas Versa Director sin parches. Con las tácticas conocidas del grupo y la creciente sofisticación de sus ataques, es imperativo que las organizaciones tomen medidas inmediatas para proteger sus redes.
Aún no se conoce por completo el alcance de esta amenaza, pero las consecuencias podrían ser catastróficas si no se aborda. Se espera que el equipo de Black Lotus Labs publique documentación técnica detallada, incluidos indicadores de compromiso (IOC) y datos de telemetría, para ayudar a las organizaciones a identificar y mitigar los riesgos que plantea esta vulnerabilidad.
En vista de esta situación alarmante, se insta a todas las organizaciones que utilizan servidores Versa Director a que apliquen parches a sus sistemas de inmediato y revisen sus configuraciones de seguridad. El peligro es real y hay mucho en juego: si no se actúa, se podría producir una vulneración que podría paralizar la infraestructura crítica y comprometer datos confidenciales. El tiempo avanza y es hora de actuar.
