Kinesiska Volt Typhoon Hackers slår till igen i en kritisk nolldagsattack som hotar nätverkssäkerhet

I en oroande utveckling har cybersäkerhetsexperter på Lumen Technologies upptäckt en ny våg av cyberattacker av den kinesiska hackergruppen Volt Typhoon , som utnyttjar en allvarlig sårbarhet i Versa Director-servrar. Detta nolldagarsfel, identifierat som CVE-2024-39717, utgör ett allvarligt hot, särskilt mot Internet Service Providers (ISPs) och Managed Service Providers (MSPs), vars nätverk riskerar att infiltreras.

Sårbarheten lades nyligen till i CISA:s måste-patch-lista, vilket signalerar dess kritiska karaktär. Versa Networks bekräftade att felet tillåter angripare att bryta mot Versa Directors grafiska användargränssnitt (GUI) och distribuera skadlig programvara på komprometterade enheter. Versa Director-servrar, avgörande för att hantera nätverkskonfigurationer i SD-WAN-programvara, är nu främsta mål för dessa sofistikerade cyberbrottslingar.

Volt Typhoon, en grupp med kopplingar till den kinesiska regeringen, har kopplats till utnyttjandet av denna sårbarhet. Lumen Technologies Black Lotus Labs-team upptäckte ett unikt webbskal som används för att kapa autentiseringsuppgifter och få obehörig åtkomst till nätverk av nedströmskunder. Gruppens aktiviteter har spårats tillbaka till den 12 juni 2024, och de fortsätter att orsaka förödelse för flera amerikanska organisationer, särskilt inom ISP-, MSP- och IT-sektorerna.

Följderna av detta brott är allvarliga. Volt Typhoons historia är fylld av attacker mot kritisk infrastruktur inom olika sektorer, inklusive kommunikation, verktyg, transporter och myndigheter. Deras metoder är sofistikerade och deras kampanjer är riktade, vilket gör att många organisationer är sårbara för förödande konsekvenser.

Versa Networks har erkänt ett fall där sårbarheten utnyttjades på grund av föråldrade brandväggsriktlinjer som inte hade implementerats av en kund. Denna förbiseende gjorde det möjligt för angriparna att utnyttja felet utan att behöva komma åt GUI. Även om Versa Networks tycks lägga ett visst ansvar på offerorganisationer för dessa konfigurationsfel, är verkligheten att denna sårbarhet utgör en betydande fara för alla berörda nätverk.

Black Lotus Labs-teamet har slagit larm och varnar för att Volt Typhoons kampanj sannolikt pågår mot oparpade Versa Director-system. Med gruppens kända taktik och den växande sofistikeringen av deras attacker är det absolut nödvändigt att organisationer vidtar omedelbara åtgärder för att säkra sina nätverk.

Den fullständiga omfattningen av detta hot är ännu inte helt klarlagd, men konsekvenserna kan bli katastrofala om de inte åtgärdas. Black Lotus Labs-teamet förväntas släppa detaljerad teknisk dokumentation, inklusive Indicators of Compromise (IOC) och telemetridata, för att hjälpa organisationer att identifiera och minska riskerna med detta utnyttjande.

I ljuset av denna alarmerande situation uppmanas alla organisationer som använder Versa Director-servrar att omedelbart korrigera sina system och se över sina säkerhetskonfigurationer. Faran är verklig, och insatserna är höga – underlåtenhet att agera kan resultera i ett intrång som kan lamslå kritisk infrastruktur och äventyra känslig data. Klockan tickar och det är dags att agera nu.