Китайские хакеры Volt Typhoon снова наносят удар, совершая критическую атаку нулевого дня, которая угрожает безопасности сети

В тревожном развитии событий эксперты по кибербезопасности из Lumen Technologies обнаружили новую волну кибератак китайской хакерской группы Volt Typhoon , эксплуатирующей серьезную уязвимость в серверах Versa Director. Эта уязвимость нулевого дня, идентифицированная как CVE-2024-39717, представляет серьезную угрозу, особенно для поставщиков интернет-услуг (ISP) и поставщиков управляемых услуг (MSP), чьи сети подвержены риску проникновения.

Недавно уязвимость была добавлена в список обязательных исправлений CISA, что свидетельствует о ее критическом характере. Versa Networks подтвердила, что эта уязвимость позволяет злоумышленникам нарушать графический пользовательский интерфейс Versa Director (GUI) и развертывать вредоносное ПО на скомпрометированных устройствах. Серверы Versa Director, жизненно важные для управления сетевыми конфигурациями в программном обеспечении SD-WAN, теперь являются основными целями для этих изощренных киберпреступников.

Volt Typhoon, группа, связанная с китайским правительством, была связана с эксплуатацией этой уязвимости. Команда Black Lotus Labs компании Lumen Technologies обнаружила уникальную веб-оболочку, используемую для перехвата учетных данных и получения несанкционированного доступа к сетям нижестоящих клиентов. Деятельность группы была прослежена до 12 июня 2024 года, и они продолжают сеять хаос в нескольких организациях США, особенно в секторах ISP, MSP и IT.

Последствия этого нарушения серьезны. История Volt Typhoon полна атак на критически важную инфраструктуру в различных секторах, включая коммуникации, коммунальные услуги, транспорт и правительство. Их методы сложны, а кампании точечные, что делает многочисленные организации уязвимыми к разрушительным последствиям.

Versa Networks признала случай, когда уязвимость была использована из-за устаревших рекомендаций по брандмауэру, которые не были реализованы клиентом. Эта оплошность позволила злоумышленникам использовать уязвимость без необходимости доступа к графическому интерфейсу. Хотя Versa Networks, по-видимому, перекладывает часть ответственности на организации-жертвы за эти ошибки конфигурации, реальность такова, что эта уязвимость представляет значительную опасность для всех затронутых сетей.

Команда Black Lotus Labs забила тревогу, предупредив, что кампания Volt Typhoon, вероятно, ведется против неисправленных систем Versa Director. Учитывая известную тактику группы и растущую изощренность ее атак, крайне важно, чтобы организации немедленно предприняли действия по защите своих сетей.

Полный масштаб этой угрозы еще предстоит полностью понять, но последствия могут быть катастрофическими, если их не устранить. Ожидается, что команда Black Lotus Labs опубликует подробную техническую документацию, включая индикаторы компрометации (IOC) и данные телеметрии, чтобы помочь организациям в выявлении и снижении рисков, связанных с этим эксплойтом.

В свете этой тревожной ситуации всем организациям, использующим серверы Versa Director, настоятельно рекомендуется немедленно исправить свои системы и пересмотреть конфигурации безопасности. Опасность реальна, а ставки высоки — бездействие может привести к нарушению, которое может парализовать критическую инфраструктуру и поставить под угрозу конфиденциальные данные. Часы тикают, и время действовать — сейчас.