Kinijos voltų taifūno įsilaužėliai vėl smogė kritinei nulinės dienos atakai, kuri kelia grėsmę tinklo saugumui

Per nerimą keliančius pokyčius Lumen Technologies kibernetinio saugumo ekspertai atskleidė naują Kinijos įsilaužėlių grupės „Volt Typhoon“ kibernetinių atakų bangą, išnaudojančią rimtą „Versa Director“ serverių pažeidžiamumą. Šis nulinės dienos trūkumas, identifikuotas kaip CVE-2024-39717, kelia rimtą grėsmę, ypač interneto paslaugų teikėjams (IPT) ir valdomiems paslaugų teikėjams (MSP), kurių tinkluose gresia įsiskverbimas.

Pažeidžiamumas neseniai buvo įtrauktas į CISA privalomų pataisų sąrašą, o tai rodo jos kritinį pobūdį. „Versa Networks“ patvirtino, kad ši klaida leidžia užpuolikams pažeisti „Versa Director“ grafinę vartotojo sąsają (GUI) ir įdiegti kenkėjiškas programas pažeistuose įrenginiuose. „Versa Director“ serveriai, gyvybiškai svarbūs SD-WAN programinės įrangos tinklo konfigūracijai valdyti, dabar yra pagrindiniai šių sudėtingų kibernetinių nusikaltėlių taikiniai.

Su Kinijos vyriausybe susijusi grupė „Volt Typhoon“ buvo siejama su šio pažeidžiamumo išnaudojimu. „Lumen Technologies“ „Black Lotus Labs“ komanda atrado unikalų žiniatinklio apvalkalą, naudojamą kredencialams pagrobti ir neteisėtai prieigai prie tolesnių klientų tinklų. Grupės veikla buvo atsekta iki 2024 m. birželio 12 d. ir toliau kelia sumaištį kelioms JAV organizacijoms, ypač IPT, MSP ir IT sektoriuose.

Šio pažeidimo pasekmės yra rimtos. „Volt Typhoon“ istorija kupina išpuolių prieš svarbią infrastruktūrą įvairiuose sektoriuose, įskaitant ryšius, komunalines paslaugas, transportą ir vyriausybę. Jų metodai yra sudėtingi, o kampanijos yra tikslingos, todėl daugelis organizacijų yra pažeidžiamos niokojančių pasekmių.

„Versa Networks“ pripažino atvejį, kai pažeidžiamumas buvo išnaudotas dėl pasenusių ugniasienės gairių, kurių klientas neįdiegė. Ši priežiūra leido užpuolikams išnaudoti trūkumą neprisijungus prie GUI. Nors atrodo, kad „Versa Networks“ dalį atsakomybės už šias konfigūracijos klaidas perkelia nukentėjusioms organizacijoms, realybė tokia, kad šis pažeidžiamumas kelia didelį pavojų visiems paveiktiems tinklams.

„Black Lotus Labs“ komanda įspėjo, kad „Volt Typhoon“ kampanija greičiausiai tęsiasi prieš nepataisytas „Versa Director“ sistemas. Atsižvelgiant į žinomą grupės taktiką ir vis sudėtingėjančius jų išpuolius, būtina, kad organizacijos nedelsdamos imtųsi veiksmų savo tinklams apsaugoti.

Visą šios grėsmės apimtį dar reikia visiškai suprasti, tačiau pasekmės gali būti katastrofiškos, jei į ją nebus atsižvelgta. Tikimasi, kad „Black Lotus Labs“ komanda išleis išsamią techninę dokumentaciją, įskaitant kompromiso rodiklius (IOC) ir telemetrijos duomenis, kad padėtų organizacijoms nustatyti ir sumažinti šio išnaudojimo keliamą riziką.

Atsižvelgiant į šią nerimą keliančią situaciją, visos organizacijos, naudojančios „Versa Director“ serverius, raginamos nedelsiant pataisyti savo sistemas ir peržiūrėti saugos konfigūracijas. Pavojus yra realus, o rizika yra didelė – nesiėmus veiksmų gali būti pažeista svarbi infrastruktūra ir gali būti pažeisti jautrūs duomenys. Laikrodis tiksi, o dabar laikas veikti.