中国の Volt Typhoon ハッカーがネットワーク セキュリティを脅かす重大なゼロデイ攻撃を再び実行

憂慮すべき展開として、ルーメン・テクノロジーズのサイバーセキュリティ専門家は、中国のハッカー集団 Volt Typhoonによる、Versa Director サーバーの重大な脆弱性を悪用した新たな一連のサイバー攻撃を発見しました。CVE-2024-39717 として識別されるこのゼロデイ脆弱性は、特にネットワークが侵入される危険にさらされているインターネットサービスプロバイダー (ISP) とマネージドサービスプロバイダー (MSP) にとって深刻な脅威となります。

この脆弱性は最近、CISA のパッチ適用必須リストに追加され、その重大性が示されました。Versa Networks は、この欠陥により攻撃者が Versa Director のグラフィカル ユーザー インターフェイス (GUI) に侵入し、侵害されたデバイスにマルウェアを展開できることを確認しました。SD-WAN ソフトウェアでネットワーク構成を管理するために不可欠な Versa Director サーバーは、現在、これらの高度なサイバー犯罪者の主なターゲットとなっています。

中国政府とつながりのあるグループである Volt Typhoon が、この脆弱性の悪用に関与していると言われています。Lumen Technologies の Black Lotus Labs チームは、認証情報を乗っ取り、下流の顧客のネットワークに不正アクセスするために使用されている独自の Web シェルを発見しました。このグループの活動は 2024 年 6 月 12 日まで遡り、ISP、MSP、IT セクターを中心に、米国の複数の組織に引き続き大混乱を引き起こしています。

この侵害の影響は深刻です。Volt Typhoon は、通信、公共事業、輸送、政府など、さまざまな分野の重要なインフラストラクチャを攻撃してきました。その手法は洗練されており、攻撃は標的を絞ったものなので、多くの組織が壊滅的な被害を受ける可能性があります。

Versa Networks は、顧客が実装していなかった古いファイアウォール ガイドラインが原因で脆弱性が悪用された事例を認めています。この見落としにより、攻撃者は GUI にアクセスすることなく欠陥を悪用することができました。Versa Networks は、これらの構成エラーについて、被害者組織に責任の一部を転嫁しているように見えますが、実際には、この脆弱性は影響を受けるすべてのネットワークに重大な危険をもたらします。

Black Lotus Labs チームは、パッチが適用されていない Versa Director システムに対して Volt Typhoon の攻撃が継続している可能性が高いと警告を発しました。このグループの既知の戦術と攻撃の高度化により、組織はネットワークのセキュリティを確保するために直ちに行動を起こすことが不可欠です。

この脅威の全容はまだ完全には解明されていませんが、対処しなければ壊滅的な結果を招く可能性があります。Black Lotus Labs チームは、組織がこのエクスプロイトによってもたらされるリスクを特定し、軽減できるよう支援するために、侵害の兆候 (IOC) やテレメトリ データを含む詳細な技術文書を公開する予定です。

この憂慮すべき状況を踏まえ、Versa Director サーバーを使用しているすべての組織は、直ちにシステムにパッチを適用し、セキュリティ構成を見直すよう強く求められています。危険は現実であり、そのリスクは大きいため、対策を講じなければ、重要なインフラストラクチャが機能不全に陥り、機密データが危険にさらされるおそれがあります。時間は刻々と迫っており、今こそ対策を講じるべき時です。