Les pirates chinois Volt Typhoon frappent à nouveau avec une attaque zero-day critique qui menace la sécurité du réseau

Les experts en cybersécurité de Lumen Technologies ont découvert une nouvelle vague de cyberattaques du groupe de hackers chinois Volt Typhoon , qui exploite une vulnérabilité grave des serveurs Versa Director. Cette faille zero-day, identifiée comme CVE-2024-39717, constitue une menace sérieuse, en particulier pour les fournisseurs d'accès Internet (FAI) et les fournisseurs de services gérés (MSP), dont les réseaux risquent d'être infiltrés.

Cette vulnérabilité a récemment été ajoutée à la liste des correctifs indispensables de la CISA, ce qui témoigne de son caractère critique. Versa Networks a confirmé que cette faille permet aux attaquants de pénétrer dans l'interface utilisateur graphique (GUI) de Versa Director et de déployer des logiciels malveillants sur les appareils compromis. Les serveurs Versa Director, essentiels à la gestion des configurations réseau dans les logiciels SD-WAN, sont désormais des cibles de choix pour ces cybercriminels sophistiqués.

Volt Typhoon, un groupe lié au gouvernement chinois, a été associé à l'exploitation de cette vulnérabilité. L'équipe Black Lotus Labs de Lumen Technologies a découvert un shell Web unique utilisé pour détourner les identifiants et obtenir un accès non autorisé aux réseaux des clients en aval. Les activités du groupe remontent au 12 juin 2024 et continuent de faire des ravages dans plusieurs organisations américaines, notamment dans les secteurs des FAI, des MSP et de l'informatique.

Les conséquences de cette faille sont graves. L'histoire de Volt Typhoon est émaillée d'attaques contre des infrastructures critiques dans divers secteurs, notamment les communications, les services publics, les transports et le gouvernement. Leurs méthodes sont sophistiquées et leurs campagnes ciblées, ce qui rend de nombreuses organisations vulnérables à des conséquences dévastatrices.

Versa Networks a reconnu un cas où la vulnérabilité a été exploitée en raison de directives de pare-feu obsolètes qui n'avaient pas été mises en œuvre par un client. Cette erreur a permis aux attaquants d'exploiter la faille sans avoir besoin d'accéder à l'interface utilisateur graphique. Bien que Versa Networks semble rejeter une partie de la responsabilité sur les organisations victimes de ces erreurs de configuration, la réalité est que cette vulnérabilité présente un danger important pour tous les réseaux affectés.

L'équipe de Black Lotus Labs a tiré la sonnette d'alarme, prévenant que la campagne de Volt Typhoon se poursuivrait probablement contre les systèmes Versa Director non corrigés. Compte tenu des tactiques connues du groupe et de la sophistication croissante de ses attaques, il est impératif que les organisations prennent des mesures immédiates pour sécuriser leurs réseaux.

L’ampleur de cette menace n’est pas encore totalement comprise, mais les conséquences pourraient être catastrophiques si rien n’est fait. L’équipe de Black Lotus Labs devrait publier une documentation technique détaillée, notamment des indicateurs de compromission (IOC) et des données de télémétrie, pour aider les organisations à identifier et à atténuer les risques posés par cet exploit.

Au vu de cette situation alarmante, toutes les organisations utilisant des serveurs Versa Director sont invitées à appliquer immédiatement des correctifs à leurs systèmes et à revoir leurs configurations de sécurité. Le danger est réel et les enjeux sont élevés : l’inaction pourrait entraîner une violation susceptible de paralyser des infrastructures critiques et de compromettre des données sensibles. Le temps presse et il est temps d’agir.