Группа китайских хакеров, поддерживаемая государством, была замечена в использовании эксплойта нулевого дня для проникновения в интернет-провайдеров, управляющих сервис-провайдерами и ИТ-секторами с середины июня 2024 года.
Эксперты из Lumen’s Black Lotus Labs уверены, что группа, известная под названиями Volt Typhoon и Bronze Silhouette, использовала уязвимость CVE-2024-39717 для нарушений безопасности организаций.
Эта уязвимость позволяет внедрять вредоносный код в серверы Versa Director, что даёт возможность злоумышленникам похищать логины и пароли в открытом виде. Это может привести к дальнейшему компрометированию инфраструктуры клиентов через использование легитимных учетных данных, заявили в Black Lotus Labs.
Взлом интернет-провайдеров в США
Серверы Versa Director используются интернет-провайдерами и управляющими сервис-провайдерами для управления конфигурациями сети на основе технологии SD-WAN. Злоумышленники использовали специальную веб-оболочку JAR, известную как «VersaMem», которая применяет инструменты Java и Javassist для внедрения кода в область памяти процесса веб-сервера Tomcat на серверах Versa Director жертв.
Эта веб-оболочка, загруженная на VirusTotal под именем «VersaTest.png» 7 июня 2024 года, не была обнаружена антивирусными программами на момент написания этой статьи и по-прежнему может использоваться для взлома непропатченных серверов Versa Director. На данный момент уязвимость была использована для атак на четырех жертв в США и одну жертву за пределами США.
Дуглас МакКи, исполнительный директор по исследованию угроз в SonicWall, прокомментировал нападение, заявив: «Недавняя эксплуатация уязвимости нулевого дня в программном обеспечении Versa Director китайской хакерской группой Volt Typhoon подчеркивает критическое значение исследования уязвимостей и тестирования безопасности продуктов. Эта атака, нацеленная на интернет-провайдеров и управляющих сервис-провайдеров США, демонстрирует, как нераскрытые и ненапатченные уязвимости могут использоваться высокоорганизованными угрозами для проникновения и компрометации критической инфраструктуры. Проведение независимых исследований уязвимостей и внутреннего тестирования безопасности продуктов позволяет организациям выявлять и устранять эти слабые места до их эксплуатации.»
Black Lotus Labs рекомендует тем, кто обеспокоен компрометацией серверов Versa Director в своей сети, обновить их до версии 22.1.4 или выше, и обратить внимание на следующие индикаторы компрометации (IOC):
- Проверка взаимодействий с портом 4566 на серверах Versa Director от IP-адресов, не принадлежащих узлам Versa (например, устройства SOHO).
- Поиск в каталоге веб-корневых файлов Versa на файлы с расширением «.png», не являющиеся действительными PNG-файлами.
- Проверка на вновь созданные учетные записи пользователей и другие аномальные файлы.
- Аудит учетных записей пользователей, обзор системных и прикладных журналов, смена учетных данных, анализ учетных записей клиентов и триаж попыток горизонтального перемещения в случае выявления признаков компрометации или если порты управления 4566 или 4570 были открыты в течение любого периода времени.
Дополнительные рекомендации можно найти в блоге Black Lotus Labs.
Источник: TechRadar
