Volt Typhoon của Trung Quốc khai thác lỗ hổng Versa Director

Tác giả ChatGPT, T.Tám 28, 2024, 08:20:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Nhóm gián điệp mạng China-nexus được theo dõi với cái tên Volt Typhoon được cho là có độ tin cậy vừa phải về việc khai thác lỗ hổng bảo mật mức độ nghiêm trọng cao được tiết lộ gần đây ảnh hưởng đến Versa Director.

Các cuộc tấn công nhắm vào bốn nạn nhân người Mỹ và một nạn nhân không phải người Mỹ trong các lĩnh vực nhà cung cấp dịch vụ Internet (ISP), nhà cung cấp dịch vụ được quản lý (MSP) và công nghệ thông tin (IT) ngay từ ngày 12 tháng 6 năm 2024, nhóm Black Lotus Labs tại Lumen Technologies cho biết trong một báo cáo kỹ thuật được chia sẻ với The Hacker News. Chiến dịch này được cho là đang diễn ra nhằm vào các hệ thống Versa Director chưa được vá lỗi.


Lỗ hổng bảo mật được đề cập là CVE-2024-39717 (điểm CVSS: 6.6), một lỗi tải lên tệp ảnh hưởng đến Versa Director đã được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) thêm vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) vào tuần trước..

Versa cho biết trong một lời khuyên được đưa ra hôm thứ Hai: "Lỗ hổng này cho phép người dùng có các đặc quyền của Nhà cung cấp-Trung tâm dữ liệu-Quản trị viên hoặc Nhà cung cấp-Data-Center-System-Admin tải lên các tệp độc hại tiềm ẩn," Versa cho biết trong một lời khuyên được đưa ra hôm thứ Hai, cho biết các khách hàng bị ảnh hưởng đã không triển khai việc củng cố hệ thống và hướng dẫn tường lửa được ban hành lần lượt vào năm 2015 và 2017.

Về cơ bản, lỗ hổng này cho phép các tác nhân đe dọa có đặc quyền của quản trị viên tải lên các tệp độc hại được ngụy trang dưới dạng tệp hình ảnh PNG bằng cách lợi dụng tùy chọn "Thay đổi Favicon" trong GUI Versa Director. Nó đã được giải quyết trong các phiên bản 22.1.4 trở lên.

Việc Volt Typhoon nhắm mục tiêu vào Versa Networks, một nhà cung cấp dịch vụ truy cập an toàn biên (SASE), không có gì đáng ngạc nhiên và phù hợp với việc đối thủ đã khai thác trước đây các thiết bị mạng văn phòng nhỏ và văn phòng gia đình (SOHO) bị xâm nhập để định tuyến lưu lượng mạng và trốn tránh sự phát hiện trong thời gian dài. khoảng thời gian.

Công ty có trụ sở tại Santa Clara tính Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile và Verizon trong số các khách hàng của mình.

Ryan English, nhà nghiên cứu bảo mật tại Lumen's Black Lotus Labs, nói với The Hacker News: "Một phần của việc quy kết [cho Volt Typhoon] dựa trên việc sử dụng các thiết bị SOHO và cách chúng được sử dụng".

"Nhưng cũng có sự kết hợp của các TTP đã biết và được quan sát, bao gồm cơ sở hạ tầng mạng, khai thác zero-day, nhắm mục tiêu chiến lược vào các lĩnh vực/nạn nhân cụ thể, phân tích web shell và các hành vi chồng chéo khác đã được xác nhận của hoạt động độc hại."

Các chuỗi tấn công được đặc trưng bởi việc khai thác lỗ hổng để cung cấp một web shell tùy chỉnh có tên VersaMem ("VersaTest.png") được thiết kế chủ yếu để chặn và thu thập thông tin xác thực cho phép truy cập vào mạng của khách hàng hạ nguồn với tư cách là người dùng được xác thực, dẫn đến một cuộc tấn công chuỗi cung ứng quy mô lớn.

Một đặc điểm đáng chú ý khác của web shell JAR phức tạp là nó có tính chất mô-đun và cho phép người vận hành tải mã Java bổ sung để chạy độc quyền trong bộ nhớ.

Mẫu VersaMem sớm nhất đã được tải lên VirusTotal từ Singapore vào ngày 7 tháng 6 năm 2024. Tính đến ngày 27 tháng 8 năm 2024, không có công cụ chống phần mềm độc hại nào gắn cờ web shell là độc hại. Người ta tin rằng các tác nhân đe dọa có thể đã thử nghiệm web shell trên các nạn nhân không phải người Mỹ trước khi triển khai nó tới các mục tiêu ở Mỹ.

Các nhà nghiên cứu giải thích rằng web shell "tận dụng công cụ Java và Javassist để tiêm mã độc vào không gian bộ nhớ xử lý máy chủ web Tomcat trên các máy chủ Versa Director bị khai thác".

"Sau khi được tiêm, mã web shell sẽ kết nối chức năng xác thực của Versa, cho phép kẻ tấn công chặn thụ động thông tin xác thực ở dạng văn bản gốc, có khả năng tạo điều kiện cho việc xâm phạm cơ sở hạ tầng máy khách thông qua việc sử dụng thông tin xác thực hợp pháp."

"Ngoài ra, web shell còn kết nối chức năng lọc yêu cầu của Tomcat, cho phép kẻ tấn công thực thi mã Java tùy ý trong bộ nhớ trên máy chủ bị xâm nhập trong khi tránh các phương pháp phát hiện dựa trên tệp và bảo vệ web shell, các mô-đun của nó và chính lỗ hổng zero-day.."

Để chống lại mối đe dọa do cụm tấn công gây ra, bạn nên áp dụng các biện pháp giảm thiểu cần thiết, chặn quyền truy cập bên ngoài vào các cổng 4566 và 4570, tìm kiếm đệ quy các tệp hình ảnh PNG và quét lưu lượng mạng có thể có bắt nguồn từ các thiết bị SOHO tới cổng 4566 trên Versa Director máy chủ.

Volt Typhoon, còn được gọi là Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda và Voltzite, là một mối đe dọa dai dẳng cấp cao được biết là đã hoạt động trong ít nhất 5 năm, nhắm vào các cơ sở hạ tầng quan trọng ở Hoa Kỳ và Guam với mục tiêu là duy trì quyền truy cập lén lút và lọc dữ liệu nhạy cảm.

English cho biết: "Đây là trường hợp cho thấy Volt Typhoon tiếp tục cố gắng tiếp cận những nạn nhân cuối cùng một cách kiên nhẫn và gián tiếp như thế nào". "Tại đây, họ đã nhắm mục tiêu vào hệ thống Versa Director như một phương tiện tấn công vào ngã tư thông tin chiến lược nơi họ có thể thu thập thông tin xác thực và quyền truy cập, sau đó chuyển xuống chuỗi tới nạn nhân cuối cùng của họ."

"Sự phát triển của Volt Typhoon theo thời gian cho chúng ta thấy rằng mặc dù một doanh nghiệp có thể không cảm thấy họ sẽ thu hút được sự chú ý của một chủ thể nhà nước có tay nghề cao, nhưng những khách hàng mà sản phẩm phục vụ có thể là mục tiêu thực sự và điều đó khiến tất cả chúng tôi lo ngại."