Търсене
Close this search box.

Ловците на зловреден софтуер в Lumen Technologies са хванали китайската APT Volt Typhoon да използва нов нулев ден в сървърите Versa Director, за да отвлече идентификационни данни и да проникне в мрежите на клиенти надолу по веригата.

Уязвимостта с висока степен на опасност, проследявана като CVE-2024-39717, беше добавена към списъка със задължителни поправки на CISA през уикенда, след като Versa Networks потвърди използването на нулевия ден и предупреди, че графичният интерфейс на Versa Director може да бъде хакнат, за да се инсталира зловреден софтуер на засегнатите устройства.

Сървърите Versa Director се използват за управление на мрежовите конфигурации на клиенти, работещи със софтуер SD-WAN, и се използват активно от доставчици на интернет услуги и доставчици на услуги за мобилни услуги, което ги прави критична и привлекателна цел за  заплахи, които искат да разширят обхвата си в управлението на корпоративните мрежи.

„Versa Networks“ е запозната с един потвърден случай, докладван от клиент, при който тази уязвимост е била използвана, тъй като насоките за защитни стени, които бяха публикувани през 2015 г. и 2017 г., не са били приложени от този клиент. Това невъвеждане е довело до това, че злонамереният колектив е могъл да използва тази уязвимост, без да използва графичния потребителски интерфейс“, заяви компанията, като изглежда прехвърля вината върху организациите жертви за грешки в конфигурацията.

„При нашето тестване (не е изчерпателно, тъй като не бяха тествани всички числови версии на основните браузъри) злонамереният файл не се изпълнява на клиента. Има съобщения за други, основани на наблюдения на телеметрията на гръбначния стълб на доставчик от трета страна, които обаче не са потвърдени до момента“, се казва в бюлетина за сигурност на Versa.

Според източници  екипът на Black Lotus Labs в Lumen Technologies е открил активна експлоатация на дефекта, поразяваща версиите на Versa Director преди 22.1.4.

Изследователският екип е открил уникален, специално разработен уеб шел, който е свързан с този нулев ден и се използва за прихващане и събиране на идентификационни данни за достъп до мрежите на клиентите надолу по веригата като автентифициран потребител.

Въз основа на известните и наблюдавани тактики и техники екипът на Black Lotus Labs свързва експлоатацията на нулевия ден с Volt Typhoon – подкрепян от китайското правителство хакерски екип, хванат в серия от повдигащи вежди атаки срещу стотици обекти от критичната инфраструктура в САЩ. Компанията смята, че експлоатацията на тази уязвимост е ограничена до Volt Typhoon и „вероятно продължава“ срещу непоправени системи Versa Director.

Изследователите посочват експлойти, датиращи поне от 12 юни 2024 г., и предупреждават, че тази кампания Volt Typhoon е останала силно целенасочена, като е засегнала няколко американски жертви в секторите ISP, MSP и IT.

Volt Typhoon, активна от средата на 2021 г., е компрометирала голямо разнообразие от организации, обхващащи секторите на комуникациите, производството, комуналните услуги, транспорта, строителството, морското дело, правителството, информационните технологии и образованието.

Това не е първият път, в който изследователите от Black Lotus Lab откриват хакери на Volt Typhoon в мрежови устройства. През декември миналата година изследователското звено алармира за масивна ботнет мрежа, пълна с излезли от употреба устройства на Cisco, Netgear и Fortinet, които се използват като тайни мрежи за пренос на данни за извършване на злонамерени операции.

Месец по-късно правителството на САЩ неутрализира ботнета и призова организациите да работят по-усилено, за да изчистят китайските хакери от превзетите мрежи.

Очаква се тази седмица екипът на Black Lotus Labs да публикува пълна техническа документация с индикатори за компрометиране (IOC) и телеметрични данни, които да помогнат на организациите да издирват признаци на компрометиране.

 

Източник: e-security.bg

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
27/09/2024

Предпазване от кибератаки п...

През последните години киберпрестъпниците все по-често...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!