Gli hacker del Chinese Volt Typhoon colpiscono di nuovo in un attacco zero-day critico che minaccia la sicurezza della rete
In uno sviluppo inquietante, gli esperti di sicurezza informatica di Lumen Technologies hanno scoperto una nuova ondata di attacchi informatici da parte del gruppo di hacker cinese Volt Typhoon , che sfrutta una grave vulnerabilità nei server Versa Director. Questa falla zero-day, identificata come CVE-2024-39717, rappresenta una grave minaccia, in particolare per gli Internet Service Provider (ISP) e i Managed Service Provider (MSP), le cui reti sono a rischio di infiltrazione.
La vulnerabilità è stata recentemente aggiunta all'elenco CISA delle patch obbligatorie, segnalandone la natura critica. Versa Networks ha confermato che la falla consente agli aggressori di violare l'interfaccia utente grafica (GUI) di Versa Director e di distribuire malware su dispositivi compromessi. I server Versa Director, essenziali per la gestione delle configurazioni di rete nel software SD-WAN, sono ora obiettivi primari per questi sofisticati criminali informatici.
Volt Typhoon, un gruppo legato al governo cinese, è stato collegato allo sfruttamento di questa vulnerabilità. Il team Black Lotus Labs di Lumen Technologies ha scoperto un web shell unico utilizzato per dirottare le credenziali e ottenere l'accesso non autorizzato alle reti dei clienti downstream. Le attività del gruppo sono state ricondotte al 12 giugno 2024 e continuano a causare danni a diverse organizzazioni statunitensi, in particolare nei settori ISP, MSP e IT.
Le ramificazioni di questa violazione sono gravi. La storia di Volt Typhoon è costellata di attacchi a infrastrutture critiche in vari settori, tra cui comunicazioni, servizi di pubblica utilità, trasporti e governo. I loro metodi sono sofisticati e le loro campagne sono mirate, lasciando numerose organizzazioni vulnerabili a conseguenze devastanti.
Versa Networks ha riconosciuto un caso in cui la vulnerabilità è stata sfruttata a causa di linee guida firewall obsolete che non erano state implementate da un cliente. Questa svista ha consentito agli aggressori di sfruttare la falla senza dover accedere alla GUI. Mentre Versa Networks sembra spostare parte della responsabilità sulle organizzazioni vittime per questi errori di configurazione, la realtà è che questa vulnerabilità presenta un pericolo significativo per tutte le reti interessate.
Il team di Black Lotus Labs ha lanciato l'allarme, avvisando che la campagna di Volt Typhoon è probabilmente in corso contro i sistemi Versa Director non patchati. Con le tattiche note del gruppo e la crescente sofisticatezza dei loro attacchi, è fondamentale che le organizzazioni adottino misure immediate per proteggere le proprie reti.
La portata completa di questa minaccia deve ancora essere pienamente compresa, ma le conseguenze potrebbero essere catastrofiche se non affrontate. Il team di Black Lotus Labs dovrebbe rilasciare una documentazione tecnica dettagliata, inclusi gli Indicatori di Compromissione (IOC) e i dati di telemetria, per aiutare le organizzazioni a identificare e mitigare i rischi posti da questo exploit.
Alla luce di questa situazione allarmante, tutte le organizzazioni che utilizzano server Versa Director sono invitate a patchare immediatamente i propri sistemi e a rivedere le proprie configurazioni di sicurezza. Il pericolo è reale e la posta in gioco è alta: la mancata azione potrebbe causare una violazione che potrebbe paralizzare l'infrastruttura critica e compromettere i dati sensibili. Il tempo stringe ed è il momento di agire.
