“
Invasão de ISPs americanos
Um grupo de hackers patrocinado pelo estado chinês foi observado usando uma exploração de dia zero para infiltrar provedores de serviços de internet (ISPs), provedores de serviços gerenciados (ISPs) e setores de TI desde pelo menos 12 de junho de 2024.
O Black Lotus Labs da Lumen acredita que o grupo, rastreado como Volt Typhoon e Bronze Silhouette, foi observado usando a vulnerabilidade, rotulada como CVE-2024-39717, para violar organizações em ambiente real.
A vulnerabilidade utiliza um processo complexo para injetar código malicioso em servidores Versa Director, permitindo que o invasor roube credenciais em texto simples, “potencialmente habilitando comprometer a infraestrutura do cliente por meio do uso de credenciais legítimas”, disse o Black Lots Labs.
Violando ISPs dos EUA
Os servidores Versa Director são usados por ISPs e MSPs para gerenciar configurações de rede em software de rede de área ampla definida por software (SD-WAN). Os invasores usaram um shell web JAR personalizado – rotulado como “VersaMem” pelo Black Lotus Labs – que emprega instrumentação Java e Javassist para injetar código no espaço de memória do processo do servidor web Tomcat nos servidores Versa Director das vítimas.
O shell web, denominado “VersaTest.png” e enviado para o VirusTotal em 7 de junho de 2024, não possui nenhuma detecção de antivírus no momento da redação e ainda pode ser usado para explorar servidores Versa Director não corrigidos. Até o momento, a vulnerabilidade foi usada para atacar quatro vítimas nos EUA e uma vítima fora dos EUA.
Douglas McKee, diretor executivo de pesquisa de ameaças da SonicWall, comentou sobre o ataque, afirmando: “A recente exploração de uma vulnerabilidade de dia zero no software Versa Director pelo grupo de hackers apoiado pelo estado chinês Volt Typhoon destaca a importância crítica da pesquisa de vulnerabilidades e dos testes de segurança de produtos. Este ataque, que visou ISPs e MSPs dos EUA, destaca como vulnerabilidades não descobertas e, portanto, não corrigidas, podem ser aproveitadas por atores de ameaças sofisticados para infiltrar e comprometer infraestruturas críticas. Ao realizar pesquisas de vulnerabilidade de terceiros e testes internos de segurança de produtos, as organizações podem identificar e mitigar essas fraquezas antes que sejam exploradas.”
O Black Lotus Labs recomenda que aqueles preocupados com a possibilidade de comprometimento dos servidores Versa Director dentro de sua rede atualizem para a versão 22.1.4 ou posterior e fiquem atentos aos seguintes indicadores de comprometimento (IOCs):
- Procurar interações com a porta 4566 em servidores Versa Director de IPs de nó não Versa (por exemplo, dispositivos SOHO).
- Pesquisar o diretório raiz da web do Versa (recursivamente) para arquivos que terminam com uma extensão “.png” que não sejam arquivos PNG válidos.
- Verificar se há novas contas de usuário e outros arquivos anormais.
- Auditar contas de usuário, revisar logs de sistema/aplicação/usuário, girar credenciais, analisar contas de clientes downstream e tentar triagem de movimentos laterais se houver alguma indicação de comprometimento ou se as portas de gerenciamento 4566 ou 4570 foram expostas por algum período.
Outras recomendações podem ser encontradas no blog do Black Lotus Labs.
“