Хакеры Volt Typhoon используют уязвимость нулевого дня на серверах Versa Director, используемых MSP и ISP

Volt Typhoon, китайская хакерская группа, спонсируемая государством, была уличена в эксплуатации уязвимости нулевого дня на серверах Versa Director, используемых поставщиками управляемых услуг и интернет-провайдерами.

Уязвимость CVE-2024-39717 была добавлена ​​в «Каталог известных эксплуатируемых уязвимостей» CISA 23 августа после того, как компания Lumen Technologies обнаружила ее активную эксплуатацию.

Данные Censys показывают, что 163 устройства в США, Филиппинах, Шанхае и Индии по-прежнему уязвимы, несмотря на то, что Versa Networks выпустила исправление для Versa Director версий 21.2.3, 22.1.2 и 22.1.3. Компания по безопасности призвала пользователей этих устройств сегментировать их в защищенную сеть и изолировать от Интернета.

Почему киберпреступники нацелились на серверы Versa Director

Серверы Versa Director позволяют MSP и ISP централизованно управлять сетевыми конфигурациями для устройств, работающих под управлением программного обеспечения SD-WAN. Они представляют собой популярную цель для хакеров, поскольку могут использоваться для эксплуатации нескольких систем.

Из-за возможности крупномасштабной атаки компания Versa Networks присвоила уязвимости рейтинг «высокого уровня опасности», хотя ее сравнительно сложно эксплуатировать.

CVE-2024-39717 затрагивает все версии Versa Director до 22.1.4. Киберпреступники эксплуатировали ее с помощью специально разработанной веб-оболочки, которую Black Lotus Labs, подразделение киберисследований Lumen Technologies, называет «VersaMem». Веб-оболочка перехватывает учетные данные, которые злоумышленники затем могут использовать для получения авторизованного доступа к сетям других пользователей.

Black Lotus Labs связала эксплуатацию CVE-2024-39717 с Volt Typhoon с «умеренной уверенностью», согласно их отчету об уязвимости. Также было сказано, что атаки «вероятно продолжаются против неисправленных систем Versa Director».

SEE: Microsoft предупреждает о Volt Typhoon, последнем залпе в глобальной кибервойне

Versa утверждает, что был только один подтвержденный случай его эксплуатации субъектом Advanced Persistent Threat. Также было сказано, что клиент «не выполнил рекомендации по укреплению системы и брандмауэру», опубликованные в 2017 и 2015 годах соответственно, — то есть порт управления остался открытым. Этот порт предоставил субъекту угрозы первоначальный доступ без необходимости использования графического интерфейса Versa Director.

Однако команда Black Lotus Labs утверждает, что с 12 июня она выявила злоумышленников, эксплуатирующих уязвимость в четырех американских компаниях и одной неамериканской компании в секторах интернет-провайдеров, управляемых поставщиков услуг и ИТ. Versa заявила, что случаи, основанные на наблюдениях стороннего поставщика, «на данный момент не подтверждены».

В своем отчете аналитики пишут: «Злоумышленники получают первоначальный административный доступ через открытый порт управления Versa, предназначенный для высокодоступного (HA) сопряжения узлов Director, что приводит к эксплуатации и развертыванию веб-оболочки VersaMem».

CISA рекомендует оперативно устранять все уязвимости, включенные в Каталог известных эксплуатируемых уязвимостей, в рамках практики компании по управлению уязвимостями.

Как можно эксплуатировать уязвимость CVE-2024-39717?

CVE-2024-39717 позволяет аутентифицированным пользователям с привилегиями высокого уровня загружать вредоносные файлы, иногда замаскированные под изображения, которые затем могут выполнять вредоносный код. После эксплуатации уязвимость может быть использована для получения несанкционированного доступа и повышения привилегий.

Злоумышленники Volt Typhoon получили привилегированный доступ к Versa Director, используя открытый порт управления Versa, предназначенный для высокодоступного сопряжения узлов Director. Затем они развернули настраиваемую веб-оболочку на веб-сервере Apache Tomcat, предоставив им удаленное управление, а затем использовали методы инъекции памяти для внедрения вредоносного кода в легитимные процессы Tomcat. Такой внедренный код позволял им выполнять команды и управлять скомпрометированной системой, сливаясь с обычным трафиком.

Наконец, они модифицировали функцию аутентификации Versa «setUserPassword» для перехвата и захвата учетных данных клиента в открытом виде, которые затем можно было использовать для компрометации клиентской инфраструктуры.

Веб-оболочка также использовалась для перехвата функциональности фильтрации запросов Tomcat «doFilter» и перехвата входящих HTTP-запросов. Затем злоумышленники могут проверять их на наличие конфиденциальной информации или динамически загружать модули Java в памяти.

Кто такой Вольт Тайфун?

Volt Typhoon — это китайская хакерская группа, спонсируемая государством, которая провела сотни атак на критическую инфраструктуру с момента своей активности в середине 2021 года. В мае 2023 года Microsoft выпустила предупреждение о группе, в котором говорилось, что она использует методы извлечения данных и кибершпионажа «живя за счет земли».

В декабре 2023 года расследование ФБР раскрыло широкомасштабную атаку ботнета этой банды, созданную из сотен частных маршрутизаторов по всей территории США и ее заморских территорий. В следующем месяце следователи Министерства юстиции заявили, что вредоносное ПО было удалено с затронутых маршрутизаторов, что нейтрализовало ботнет.

Рекомендации по защите серверов Versa Director

Компании Versa Networks и Lumen Technologies дают ряд рекомендаций пользователям серверов Versa Director:

Немедленно установите исправление: доступны исправления для версий 21.2.3, 22.1.2 и 22.1.3. Примените лучшие практики по усилению защиты: Versa Networks рекомендует следовать своим требованиям по усилению защиты брандмауэра и системы. Проверьте, не была ли уже использована уязвимость: a) Проверьте «/var/versa/vnms/web/custom_logo/» на наличие подозрительных файлов. Выполните команду «file -b –mime-type <.png file>», чтобы сообщить о типе файла как «image/png». b) Найдите взаимодействия с портом 4566 на серверах Versa Director с IP-адресов, не относящихся к узлам Versa (например, устройства SOHO). c) Проверьте наличие недавно созданных учетных записей пользователей и других аномальных файлов. d) Просмотрите существующие учетные записи, журналы и учетные данные и отсортируйте любые попытки бокового перемещения, если обнаружены индикаторы компрометации. Заблокируйте внешний доступ к портам 4566 и 4570: убедитесь, что порты открыты только между активным и резервным узлами Versa Director для трафика сопряжения HA. Прочитайте статью поддержки клиентов под названием Versa Director HA Port Exploit – Discovery and Remediation.

Дополнительную техническую информацию, индикаторы компрометации и рекомендации см. в отчете Black Lotus Labs и правилах YARA по поиску угроз.