“
Hackeando ISPs dos EUA
Servidores Versa Director são usados por ISPs e MSPs para gerenciar configurações de rede em softwares de rede de área ampla definida por software (SD-WAN). Os invasores usaram um shell web JAR personalizado – rotulado como \”VersaMem\” pelo Black Lotus Labs – que emprega instrumentação Java e Javassist para injetar código no espaço de memória do processo do servidor web Tomcat nos servidores Versa Director das vítimas.
O shell web, chamado \”VersaTest.png\” e enviado para o VirusTotal em 7 de junho de 2024, não tem nenhuma detecção de antivírus no momento da escrita e ainda pode ser usado para explorar servidores Versa Director não corrigidos. Até o momento, a vulnerabilidade foi usada para atacar quatro vítimas nos EUA e uma vítima fora dos EUA.
Douglas McKee, diretor executivo de pesquisa de ameaças da SonicWall, comentou sobre o ataque, afirmando: \”A recente exploração de uma vulnerabilidade de dia zero no software Versa Director pelo grupo de hackers patrocinado pelo estado chinês Volt Typhoon destaca a importância crítica da pesquisa de vulnerabilidades e dos testes de segurança de produtos. Este ataque, que teve como alvo ISPs e MSPs dos EUA, destaca como vulnerabilidades não descobertas e, portanto, não corrigidas, podem ser aproveitadas por atores de ameaças sofisticados para infiltrar e comprometer infraestruturas críticas. Ao realizar pesquisa de vulnerabilidade de terceiros e testes de segurança de produtos internos, as organizações podem identificar e mitigar essas fraquezas antes que sejam exploradas.\”
O Black Lotus Labs recomenda que aqueles que estão preocupados com a invasão de servidores Versa Director dentro de sua rede atualizem para a versão 22.1.4 ou posterior e fiquem atentos aos seguintes indicadores de comprometimento (IOCs):
- Procurar interações com a porta 4566 em servidores Versa Director de IPs de nó não Versa (por exemplo, dispositivos SOHO).
- Pesquisar no diretório da raiz web do Versa (recursivamente) por arquivos que terminam com uma extensão \”.png\” que não são arquivos PNG válidos.
- Verificar se há contas de usuário recém-criadas e outros arquivos anormais.
- Auditar contas de usuário, revisar logs do sistema/aplicativo/usuário, girar credenciais, analisar contas de clientes downstream e tentar triagem de movimentos laterais se houver alguma indicação de comprometimento, ou as portas de gerenciamento 4566 ou 4570 forem expostas por qualquer período de tempo.
Outras recomendações podem ser encontradas no blog do Black Lotus Labs.
“