El grupo de espionaje cibernético de origen chino conocido como Volt Typhoon ha sido atribuido con moderada confianza a la explotación de una vulnerabilidad recientemente revelada que afecta gravemente a Versa Director.
Los ataques se dirigieron contra cuatro víctimas en Estados Unidos
y una no estadounidense en los sectores de proveedores de servicios de Internet (ISP), proveedores de servicios administrados (MSP) y tecnologías de la información (TI) tan temprano como el 12 de junio de 2024, según un informe técnico de Black Lotus Labs en Lumen Technologies. Se cree que la campaña continúa contra sistemas no parcheados de Versa Director.
La vulnerabilidad de seguridad en cuestión es CVE-2024-39717 (puntuación CVSS: 6.6), un fallo de carga de archivos que afecta a Versa Director y fue agregado al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) la semana pasada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
El lunes, Versa publicó un aviso indicando que la vulnerabilidad permitía que los archivos potencialmente maliciosos fueran cargados por usuarios con privilegios de Proveedor-Admin del Centro de Datos o Proveedor-Admin del Sistema del Centro de Datos. La falla básicamente permite a actores de amenazas con privilegios de administrador cargar archivos maliciosos camuflados como archivos de imagen PNG aprovechando la opción «Cambiar Favicon» en la interfaz gráfica de usuario de Versa Director. Se ha abordado en las versiones 22.1.4 o posteriores.
El enfoque de Volt Typhoon en Versa Networks, un proveedor de servicios de acceso seguro (SASE), no es sorprendente y está en línea con la explotación histórica del adversario de equipos de red comprometidos en pequeñas oficinas y oficinas en el hogar (SOHO) para enrutar el tráfico de red y evadir la detección durante períodos prolongados.
Las cadenas de ataque se caracterizan por la explotación de la falla para entregar un web shell a medida llamado VersaMem («VersaTest.png») que está diseñado principalmente para interceptar y recopilar credenciales que permitirían acceder a las redes de los clientes en cascada como usuario autenticado, lo que resulta en un ataque de cadena de suministro a gran escala.
Otra característica notable del sofisticado web shell JAR es que es modular en su naturaleza y permite a los operadores cargar código Java adicional para ejecutar exclusivamente en la memoria.
Para contrarrestar la amenaza planteada por el grupo de ataque, se recomienda aplicar las mitigaciones necesarias, bloquear el acceso externo a los puertos 4566 y 4570, buscar de forma recursiva archivos de imagen PNG y escanear posibles tráficos de red originados desde dispositivos SOHO hacia el puerto 4566 en servidores de Versa Director.
Volt Typhoon, también conocido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda y Voltzite, es una amenaza persistente avanzada que se sabe que está activa durante al menos cinco años, apuntando a instalaciones críticas de infraestructuras en Estados Unidos y Guam con el objetivo de mantener un acceso sigiloso y exfiltrar datos sensibles.
Vía The Hacker News
