Chinese Volt Typhoon-hackers slaan opnieuw toe in kritieke zero-day-aanval die netwerkbeveiliging bedreigt
In een verontrustende ontwikkeling hebben cybersecurity-experts bij Lumen Technologies een nieuwe golf van cyberaanvallen ontdekt door de Chinese hackersgroep Volt Typhoon , die misbruik maakt van een ernstige kwetsbaarheid in Versa Director-servers. Deze zero-day-fout, geïdentificeerd als CVE-2024-39717, vormt een ernstige bedreiging, met name voor internetproviders (ISP's) en Managed Service Providers (MSP's), waarvan de netwerken het risico lopen te worden geïnfiltreerd.
De kwetsbaarheid werd onlangs toegevoegd aan de CISA must-patch lijst, wat duidt op de kritieke aard ervan. Versa Networks bevestigde dat de fout aanvallers in staat stelt om de grafische gebruikersinterface (GUI) van Versa Director te schenden en malware te implementeren op gecompromitteerde apparaten. Versa Director-servers, essentieel voor het beheren van netwerkconfiguraties in SD-WAN-software, zijn nu hoofddoelen voor deze geavanceerde cybercriminelen.
Volt Typhoon, een groep met banden met de Chinese overheid, is in verband gebracht met het misbruik van deze kwetsbaarheid. Het Black Lotus Labs-team van Lumen Technologies ontdekte een unieke webshell die werd gebruikt om inloggegevens te kapen en ongeautoriseerde toegang te krijgen tot netwerken van downstreamklanten. De activiteiten van de groep zijn terug te voeren tot 12 juni 2024 en ze blijven verschillende Amerikaanse organisaties teisteren, met name binnen de ISP-, MSP- en IT-sectoren.
De gevolgen van deze inbreuk zijn ernstig. De geschiedenis van Volt Typhoon is beladen met aanvallen op kritieke infrastructuur in verschillende sectoren, waaronder communicatie, nutsbedrijven, transport en overheid. Hun methoden zijn geavanceerd en hun campagnes zijn gericht, waardoor talloze organisaties kwetsbaar zijn voor verwoestende gevolgen.
Versa Networks heeft een geval erkend waarbij de kwetsbaarheid werd uitgebuit vanwege verouderde firewallrichtlijnen die niet door een klant waren geïmplementeerd. Deze omissie stelde de aanvallers in staat om de fout te misbruiken zonder dat ze toegang tot de GUI nodig hadden. Hoewel Versa Networks een deel van de verantwoordelijkheid voor deze configuratiefouten lijkt af te schuiven op slachtofferorganisaties, is de realiteit dat deze kwetsbaarheid een aanzienlijk gevaar vormt voor alle getroffen netwerken.
Het Black Lotus Labs-team heeft alarm geslagen en gewaarschuwd dat de campagne van Volt Typhoon waarschijnlijk doorgaat tegen ongepatchte Versa Director-systemen. Gezien de bekende tactieken van de groep en de toenemende verfijning van hun aanvallen, is het van groot belang dat organisaties onmiddellijk actie ondernemen om hun netwerken te beveiligen.
De volledige omvang van deze dreiging moet nog volledig worden begrepen, maar de gevolgen kunnen catastrofaal zijn als er niets aan wordt gedaan. Het Black Lotus Labs-team zal naar verwachting gedetailleerde technische documentatie vrijgeven, waaronder Indicators of Compromise (IOC's) en telemetriegegevens, om organisaties te helpen bij het identificeren en beperken van de risico's die deze exploit met zich meebrengt.
In het licht van deze alarmerende situatie worden alle organisaties die Versa Director-servers gebruiken dringend verzocht hun systemen onmiddellijk te patchen en hun beveiligingsconfiguraties te herzien. Het gevaar is reëel en de inzet is hoog: als u niets doet, kan dit leiden tot een inbreuk die kritieke infrastructuur kan verlammen en gevoelige gegevens in gevaar kan brengen. De tijd dringt en het is nu tijd om actie te ondernemen.
