El famoso grupo chino Volt Typhoon está explotando activamente un error de día cero en los servidores Director de Versa Networks para interceptar y recopilar credenciales para usarlas en futuros ataques.
El error, ahora solucionado y rastreado como CVE-2024-39717, afecta a todas las versiones de Versa Director anteriores a la 22.1.4 y se refiere a una función que permite a los usuarios personalizar la apariencia de su interfaz gráfica de usuario (GUI). Director Versa Los servidores son un componente de la tecnología de red de área amplia definida por software (SD-WAN) de Versa Networks. Permiten a las organizaciones configurar, administrar y monitorear de manera centralizada dispositivos de red, enrutamiento de tráfico, políticas de seguridad y otros aspectos de un entorno SD-WAN. Entre sus clientes se incluyen ISP, MSP y muchas organizaciones grandes.
Dan Maier, director de marketing de Versa, explica que esta vulnerabilidad puede considerarse un error de escalada de privilegios, ya que el atacante recopila credenciales para obtener acceso privilegiado. Señala que los atacantes obtienen acceso inicial a Versa Director a través de los puertos de administración de alta disponibilidad 4566 y 4570 si se dejan abiertos y disponibles en Internet.
«Una vez que los atacantes obtienen el acceso inicial, aumentan sus privilegios para obtener credenciales de administrador de nivel superior», afirma Maier, y añade que Versa siempre ha pedido a sus clientes que limiten el acceso a estos puertos de alta disponibilidad.
Investigadores del laboratorio Black Lotus de Lumen Technologies descubrió el error y señaló que su análisis mostró que el actor de amenazas utilizó Dispositivos para pequeñas empresas/oficinas en el hogar (SOHO) controlados por un atacante—una táctica común del Volt Typhoon— para acceder a sistemas Versa Director vulnerables a través de puertos de administración.
Operación activa desde al menos junio.
Los investigadores de Lumen informaron del error a Versa el 21 de junio, unos nueve días después de que creen que Volt Typhoon comenzó a explotarlo. Versa confirmó la vulnerabilidad de día cero y publicó un aviso para el cliente que describe las mitigaciones del error el 26 de julio. Luego, la compañía emitió un segundo aviso el 8 de agosto con detalles técnicos y emitió un boletín de seguridad el 26 de agosto describiendo la falla con más detalle.
“Nuestros clientes están en el proceso de actualizarse a [the patched] «Versión de software», señala Maier, y añade que Versa sólo ha confirmado un incidente en el que un atacante aprovechó con éxito la vulnerabilidad. Sin embargo, los investigadores de Lumen dicen que el atacante comprometió al menos a cinco víctimas, cuatro de las cuales residen en Estados Unidos. Las organizaciones víctimas pertenecen a proveedores de servicios gestionados, proveedores de servicios de Internet y industrias de TI, dijo Lumen. Dark Reading solicitó una auditoría de la discrepancia en las bajas.
En su informe publicado hoy, los investigadores de Lumen dijeron que los actores de Volt Typhoon están utilizando CVE-2024-39717 para implementar ‘VersaMem’, un shell web personalizado para capturar credenciales de usuario en texto claro en los sistemas afectados. El actor de amenazas también utiliza VersaMem para monitorear todas las solicitudes entrantes al servidor de aplicaciones web Apache Tomcat subyacente y para cargar dinámicamente módulos Java en la memoria allí, dijeron.
«Al momento de escribir este artículo, creemos que la explotación de esta vulnerabilidad se limita a Volt Typhoon y probablemente esté ocurriendo en sistemas Versa Director sin parches», según la publicación de Lumen.
Proteja los puertos para evitar el malware que roba credenciales
HackerOne, a través del cual Versa coordinó la divulgación de la vulnerabilidad, calificó la vulnerabilidad como moderadamente grave, con una puntuación base de 6,6 sobre 10 en la escala CVSS. La empresa de recompensas por errores describió la vulnerabilidad como compleja de explotar y que requiere privilegios de usuario elevados. Pero el propio Versa describió el problema como preocupante dada la posibilidad de explotarlo para cargar archivos peligrosos en Versa Director y su huella potencialmente extensa: «Si bien la vulnerabilidad es difícil de explotar, está clasificada como ‘alta’ y afecta a todos los Versa SD-WAN. clientes que utilizan Versa Director y que no han implementado pautas de refuerzo del sistema y del firewall. »
El investigador de seguridad de Lumen Black Lotus, Michael Horka, dice que cuando los puertos de administración Versa Director 4566 y 4570 antes mencionados se exponen externamente, la vulnerabilidad es bastante fácil de explotar.
«El puerto de administración proporciona acceso no autenticado a la GUI, lo que luego permite la explotación de CVE-2024-39717, lo que lleva a la carga de archivos y la ejecución de código sin restricciones del [VersaMem] «Si los puertos de administración de Versa Director 4566 y 4570 no están expuestos externamente, el actor de la amenaza necesitará acceder a la interfaz web a través de otro método, como el robo de credenciales, el phishing o la explotación de otra vulnerabilidad», explica. «Esto aumenta el nivel de dificultad para una explotación exitosa».
CISA agrega CVE-2024-39717 al catálogo de vulnerabilidades explotadas conocidas
Los ataques llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2024-39717 a su catálogo de vulnerabilidades explotadas conocidasLas agencias ejecutivas civiles federales deben implementar las medidas de mitigación de Versa para abordar la falla antes del 13 de septiembre, o dejar de usar la tecnología hasta que puedan mitigarla.
Volt Typhoon es un grupo de investigadores de seguridad patrocinado por China y Gobierno de Estados Unidos ampliamente percibido como uno de los actores estatales más peligrosos, perniciosos y persistentes actualmente activos. El grupo es bien conocido por sus ataques contra Objetivos estadounidenses para infraestructura crítica que se remonta al menos a 2021. Muchos creen que el actor de amenazas ha establecido una presencia oculta en muchas redes estadounidenses y podría crear potencialmente una perturbación generalizada en caso de que las tensiones geopolíticas en torno a Taiwán se conviertan en un conflicto militar entre Estados Unidos y China.
Los investigadores de Lumen descubrieron la campaña mientras investigaban el tráfico, sugiriendo una posible explotación de los servidores Versa Director el 12 de junio. Su análisis mostró que el actor de amenazas compiló el shell web a principios de junio y cargó una muestra en VirusTotal unos días después para ver si las herramientas antivirus lo detectarían. Hasta la fecha, ninguna herramienta antivirus es capaz de detectar el malware, dijeron los investigadores de Lumen.
Versa anima a sus clientes a actualizar su software y comprobar si alguien ya ha aprovechado la vulnerabilidad en su entorno. La compañía también quiere que las empresas implementen sus pautas para reforzar el sistema y reglas de firewall para mitigar su riesgo general.