A kínai Volt Typhoon hackerei ismét kritikus nulladik napi támadást indítottak, amely veszélyezteti a hálózat biztonságát

Zavarba ejtő fejleményként a Lumen Technologies kiberbiztonsági szakértői a Volt Typhoon kínai hackercsoport új kibertámadási hullámát tárták fel, kihasználva a Versa Director szerverek súlyos sebezhetőségét. Ez a nulladik napi hiba, amelyet CVE-2024-39717-ként azonosítottak, súlyos fenyegetést jelent, különösen az internetszolgáltatókra (ISP) és a felügyelt szolgáltatókra (MSP-k), amelyek hálózataiba behatolás veszélye fenyeget.

A sérülékenység a közelmúltban felkerült a CISA kötelező javítási listájára, jelezve annak kritikus jellegét. A Versa Networks megerősítette, hogy a hiba lehetővé teszi a támadók számára, hogy feltörjék a Versa Director grafikus felhasználói felületét (GUI), és rosszindulatú programokat telepítsenek a feltört eszközökön. A Versa Director szerverek, amelyek létfontosságúak a hálózati konfigurációk SD-WAN szoftverben történő kezeléséhez, ma már ezeknek a kifinomult számítógépes bűnözőknek az elsődleges célpontjai.

A Volt Typhoon, a kínai kormánnyal kapcsolatban álló csoportot összefüggésbe hozták e sebezhetőség kihasználásával. A Lumen Technologies Black Lotus Labs csapata felfedezett egy egyedi webhéjat, amelyet hitelesítő adatok eltérítésére és a későbbi ügyfelek hálózataihoz való jogosulatlan hozzáférésre használnak. A csoport tevékenységét 2024. június 12-ig vezették vissza, és továbbra is pusztítást okoz számos egyesült államokbeli szervezetben, különösen az ISP, MSP és IT szektorban.

Ennek a jogsértésnek súlyos következményei vannak. A Volt Typhoon története tele van a kritikus infrastruktúrák elleni támadásokkal különböző szektorokban, beleértve a kommunikációt, a közműveket, a közlekedést és a kormányzatot. Módszereik kifinomultak, kampányaik célirányosak, így számos szervezet sebezhetővé válik a pusztító következményekkel szemben.

A Versa Networks elismert egy olyan esetet, amikor a sebezhetőséget elavult tűzfalirányelvek miatt használták ki, amelyeket az ügyfél nem vezetett be. Ez a felügyelet lehetővé tette a támadók számára, hogy kihasználják a hibát anélkül, hogy hozzá kellett volna férniük a grafikus felülethez. Bár úgy tűnik, hogy a Versa Networks bizonyos felelősséget az áldozat szervezetekre hárít ezekért a konfigurációs hibákért, a valóság az, hogy ez a biztonsági rés jelentős veszélyt jelent az összes érintett hálózatra.

A Black Lotus Labs csapata megkongatta a vészharangot, figyelmeztetve, hogy a Volt Typhoon kampánya valószínűleg folytatódik a javítatlan Versa Director rendszerek ellen. A csoport ismert taktikája és támadásaik egyre kifinomultabbá válása miatt elengedhetetlen, hogy a szervezetek azonnali lépéseket tegyenek hálózataik biztonsága érdekében.

A fenyegetés teljes terjedelmét még nem értjük teljesen, de a következmények katasztrofálisak lehetnek, ha nem foglalkoznak vele. A Black Lotus Labs csapata várhatóan részletes műszaki dokumentációt ad ki, beleértve a kompromisszummutatókat (IOC) és a telemetriai adatokat, hogy segítse a szervezeteket az e kihasználásból eredő kockázatok azonosításában és mérséklésében.

A riasztó helyzet fényében minden Versa Director szervert használó szervezetet arra kérünk, hogy haladéktalanul javítsa rendszereit, és vizsgálja felül biztonsági konfigurációit. A veszély valós, és a tét nagy – a cselekvés elmulasztása olyan incidenshez vezethet, amely megbéníthatja a kritikus infrastruktúrát és veszélyeztetheti az érzékeny adatokat. Ketyeg az óra, és itt az ideje a cselekvésnek.