Hackers chineses do Volt Typhoon atacam novamente em ataque crítico de dia zero que ameaça a segurança da rede
Em um desenvolvimento perturbador, especialistas em segurança cibernética da Lumen Technologies descobriram uma nova onda de ataques cibernéticos pelo grupo de hackers chinês Volt Typhoon , explorando uma vulnerabilidade séria nos servidores Versa Director. Essa falha de dia zero, identificada como CVE-2024-39717, representa uma ameaça grave, especialmente para Provedores de Serviços de Internet (ISPs) e Provedores de Serviços Gerenciados (MSPs), cujas redes correm o risco de serem infiltradas.
A vulnerabilidade foi adicionada recentemente à lista de patches obrigatórios da CISA, sinalizando sua natureza crítica. A Versa Networks confirmou que a falha permite que invasores violem a interface gráfica do usuário (GUI) do Versa Director e implantem malware em dispositivos comprometidos. Os servidores Versa Director, vitais para gerenciar configurações de rede em software SD-WAN, agora são os principais alvos desses sofisticados cibercriminosos.
Volt Typhoon, um grupo com laços com o governo chinês, foi vinculado à exploração desta vulnerabilidade. A equipe Black Lotus Labs da Lumen Technologies descobriu um shell da web exclusivo sendo usado para sequestrar credenciais e obter acesso não autorizado a redes de clientes downstream. As atividades do grupo foram rastreadas até 12 de junho de 2024, e eles continuam a causar estragos em várias organizações dos EUA, particularmente nos setores de ISP, MSP e TI.
As ramificações dessa violação são severas. A história do Volt Typhoon é repleta de ataques a infraestrutura crítica em vários setores, incluindo comunicações, serviços públicos, transporte e governo. Seus métodos são sofisticados e suas campanhas são direcionadas, deixando inúmeras organizações vulneráveis a consequências devastadoras.
A Versa Networks reconheceu um caso em que a vulnerabilidade foi explorada devido a diretrizes de firewall desatualizadas que não foram implementadas por um cliente. Esse descuido permitiu que os invasores explorassem a falha sem precisar acessar a GUI. Embora a Versa Networks pareça transferir alguma responsabilidade para as organizações vítimas por esses erros de configuração, a realidade é que essa vulnerabilidade representa um perigo significativo para todas as redes afetadas.
A equipe do Black Lotus Labs soou o alarme, avisando que a campanha do Volt Typhoon provavelmente está em andamento contra sistemas Versa Director sem patch. Com as táticas conhecidas do grupo e a crescente sofisticação de seus ataques, é imperativo que as organizações tomem medidas imediatas para proteger suas redes.
O escopo completo dessa ameaça ainda não foi totalmente compreendido, mas as consequências podem ser catastróficas se não forem abordadas. A equipe do Black Lotus Labs deve liberar documentação técnica detalhada, incluindo Indicadores de Compromisso (IOCs) e dados de telemetria, para auxiliar as organizações a identificar e mitigar os riscos apresentados por essa exploração.
À luz dessa situação alarmante, todas as organizações que usam servidores Versa Director são instadas a corrigir seus sistemas imediatamente e revisar suas configurações de segurança. O perigo é real, e os riscos são altos — deixar de agir pode resultar em uma violação que pode prejudicar a infraestrutura crítica e comprometer dados confidenciais. O tempo está passando, e a hora de agir é agora.
