Chińscy hakerzy Volt Typhoon uderzają ponownie w krytycznym ataku typu Zero-Day, który zagraża bezpieczeństwu sieci

W niepokojącym rozwoju sytuacji eksperci ds. cyberbezpieczeństwa z Lumen Technologies odkryli nową falę cyberataków chińskiej grupy hakerskiej Volt Typhoon , wykorzystującej poważną lukę w zabezpieczeniach serwerów Versa Director. Ta luka typu zero-day, zidentyfikowana jako CVE-2024-39717, stanowi poważne zagrożenie, zwłaszcza dla dostawców usług internetowych (ISP) i dostawców usług zarządzanych (MSP), których sieci są narażone na infiltrację.

Luka została niedawno dodana do listy CISA must-patch, co wskazuje na jej krytyczny charakter. Versa Networks potwierdziło, że luka umożliwia atakującym naruszenie graficznego interfejsu użytkownika (GUI) Versa Director i wdrożenie złośliwego oprogramowania na zainfekowanych urządzeniach. Serwery Versa Director, niezbędne do zarządzania konfiguracjami sieci w oprogramowaniu SD-WAN, są obecnie głównymi celami tych wyrafinowanych cyberprzestępców.

Volt Typhoon, grupa powiązana z chińskim rządem, została powiązana z wykorzystaniem tej luki. Zespół Black Lotus Labs firmy Lumen Technologies odkrył unikalną powłokę internetową wykorzystywaną do przechwytywania danych uwierzytelniających i uzyskiwania nieautoryzowanego dostępu do sieci klientów końcowych. Działania grupy zostały prześledzone do 12 czerwca 2024 r. i nadal sieją spustoszenie w kilku amerykańskich organizacjach, szczególnie w sektorach ISP, MSP i IT.

Konsekwencje tego naruszenia są poważne. Historia Volt Typhoon jest pełna ataków na krytyczną infrastrukturę w różnych sektorach, w tym komunikacji, usług komunalnych, transportu i rządu. Ich metody są wyrafinowane, a kampanie ukierunkowane, co naraża wiele organizacji na katastrofalne konsekwencje.

Versa Networks potwierdziła przypadek, w którym luka została wykorzystana z powodu przestarzałych wytycznych dotyczących zapory, które nie zostały wdrożone przez klienta. To niedopatrzenie pozwoliło atakującym wykorzystać lukę bez konieczności dostępu do GUI. Podczas gdy Versa Networks wydaje się przerzucać część odpowiedzialności na organizacje będące ofiarami za te błędy konfiguracji, rzeczywistość jest taka, że ta luka stanowi poważne zagrożenie dla wszystkich dotkniętych nią sieci.

Zespół Black Lotus Labs podniósł alarm, ostrzegając, że kampania Volt Typhoon przeciwko niezałatanym systemom Versa Director prawdopodobnie trwa. Biorąc pod uwagę znane taktyki grupy i rosnącą wyrafinowaną naturę ataków, organizacje muszą podjąć natychmiastowe działania w celu zabezpieczenia swoich sieci.

Pełny zakres tego zagrożenia nie został jeszcze w pełni zrozumiany, ale konsekwencje mogą być katastrofalne, jeśli nie zostaną podjęte. Oczekuje się, że zespół Black Lotus Labs opublikuje szczegółową dokumentację techniczną, w tym wskaźniki naruszeń (IOC) i dane telemetryczne, aby pomóc organizacjom w identyfikowaniu i łagodzeniu ryzyka stwarzanego przez ten exploit.

W świetle tej alarmującej sytuacji wszystkie organizacje korzystające z serwerów Versa Director są proszone o natychmiastowe załatanie swoich systemów i sprawdzenie konfiguracji zabezpieczeń. Niebezpieczeństwo jest realne, a stawka wysoka — brak działania może skutkować naruszeniem, które może sparaliżować krytyczną infrastrukturę i narazić wrażliwe dane. Czas ucieka, a czas na działanie jest teraz.