Kinesiske Volt Typhoon Hackere slår til igjen i kritisk nulldagers angrep som truer nettverkssikkerhet

I en urovekkende utvikling har cybersikkerhetseksperter hos Lumen Technologies avdekket en ny bølge av cyberangrep fra den kinesiske hackergruppen Volt Typhoon , som utnytter en alvorlig sårbarhet i Versa Director-servere. Denne nulldagersfeilen, identifisert som CVE-2024-39717, utgjør en alvorlig trussel, spesielt for Internett-tjenesteleverandører (ISP-er) og administrerte tjenesteleverandører (MSP-er), hvis nettverk er i fare for å bli infiltrert.

Sårbarheten ble nylig lagt til CISA må-patch-listen, noe som signaliserer dens kritiske natur. Versa Networks bekreftet at feilen tillater angripere å bryte Versa Directors grafiske brukergrensesnitt (GUI) og distribuere skadelig programvare på kompromitterte enheter. Versa Director-servere, avgjørende for å administrere nettverkskonfigurasjoner i SD-WAN-programvare, er nå hovedmål for disse sofistikerte nettkriminelle.

Volt Typhoon, en gruppe med bånd til den kinesiske regjeringen, har blitt koblet til utnyttelsen av denne sårbarheten. Lumen Technologies' Black Lotus Labs-team oppdaget et unikt nettskall som ble brukt til å kapre legitimasjon og få uautorisert tilgang til nettverk av nedstrømskunder. Gruppens aktiviteter er sporet tilbake til 12. juni 2024, og de fortsetter å skape kaos på flere amerikanske organisasjoner, spesielt innenfor ISP-, MSP- og IT-sektorene.

Konsekvensene av dette bruddet er alvorlige. Volt Typhoons historie er full av angrep på kritisk infrastruktur på tvers av ulike sektorer, inkludert kommunikasjon, verktøy, transport og myndigheter. Metodene deres er sofistikerte, og kampanjene deres er målrettede, noe som gjør en rekke organisasjoner sårbare for ødeleggende konsekvenser.

Versa Networks har erkjent et tilfelle der sårbarheten ble utnyttet på grunn av utdaterte brannmurretningslinjer som ikke var implementert av en kunde. Denne kontrollen tillot angriperne å utnytte feilen uten å måtte få tilgang til GUI. Selv om Versa Networks ser ut til å flytte noe ansvar over på offerorganisasjoner for disse konfigurasjonsfeilene, er realiteten at denne sårbarheten utgjør en betydelig fare for alle berørte nettverk.

Black Lotus Labs-teamet har slått alarm og advart om at Volt Typhoons kampanje sannsynligvis fortsetter mot uopprettede Versa Director-systemer. Med gruppens kjente taktikk og den økende sofistikerte angrepene deres, er det avgjørende at organisasjoner tar umiddelbare tiltak for å sikre nettverkene sine.

Det fulle omfanget av denne trusselen er ennå ikke fullt ut forstått, men konsekvensene kan bli katastrofale hvis de ikke blir behandlet. Black Lotus Labs-teamet forventes å utgi detaljert teknisk dokumentasjon, inkludert Indicators of Compromise (IOCs) og telemetridata, for å hjelpe organisasjoner med å identifisere og redusere risikoen som denne utnyttelsen utgjør.

I lys av denne alarmerende situasjonen, oppfordres alle organisasjoner som bruker Versa Director-servere til å lappe systemene sine umiddelbart og gjennomgå sikkerhetskonfigurasjonene. Faren er reell, og innsatsen er høy – unnlatelse av å handle kan resultere i et brudd som kan ødelegge kritisk infrastruktur og kompromittere sensitive data. Klokken tikker, og tiden for å handle er nå.