Volt Typhoon, un grupo de piratería patrocinado por el estado chino, ha sido descubierto explotando una vulnerabilidad de día cero en los servidores Versa Director, utilizados por proveedores de servicios administrados y proveedores de servicios de Internet.
CVE-2024-39717 se agregó al “Catálogo de vulnerabilidades explotadas conocidas” de CISA el 23 de agosto después de que Lumen Technologies descubriera su explotación activa.
Los datos de Censys muestran que hay 163 dispositivos en EE. UU., Filipinas, Shanghai e India que todavía están expuestos, a pesar de que Versa Networks lanzó un parche para las versiones 21.2.3, 22.1.2 y 22.1.3 de Versa Director. La empresa de seguridad instó a los usuarios de estos dispositivos a segmentarlos en una red protegida y aislarlos de Internet.
Por qué los ciberdelincuentes atacaron los servidores Versa Director
Los servidores Versa Director permiten a los MSP e ISP administrar de forma centralizada las configuraciones de red para dispositivos que ejecutan software SD-WAN. Presentan un objetivo popular para los piratas informáticos porque pueden utilizarse para explotar múltiples sistemas.
Debido al potencial de un ataque a gran escala, Versa Networks ha otorgado a la vulnerabilidad una calificación de “alta gravedad”, aunque es relativamente difícil de explotar.
CVE-2024-39717 afecta a todas las versiones de Versa Director anteriores a la 22.1.4. Los ciberdelincuentes lo explotaron utilizando un shell web personalizado que Black Lotus Labs, el brazo de investigación cibernética de Lumen Technologies, llama “VersaMem”. El web shell intercepta las credenciales que los atacantes pueden utilizar para obtener acceso autorizado a las redes de otros usuarios.
Black Lotus Labs ha vinculado la explotación de CVE-2024-39717 a Volt Typhoon con “confianza moderada”, según su informe de vulnerabilidad. También dijo que “probablemente se estén llevando a cabo ataques contra sistemas Versa Director sin parches”.
VER: Microsoft advierte sobre Volt Typhoon, la última salva en la ciberguerra global
Versa sostiene que solo ha habido un caso confirmado de su explotación por parte de un actor de amenaza persistente avanzada. También decía que el cliente “no había implementado las pautas de firewall y refuerzo del sistema” publicadas en 2017 y 2015, respectivamente, lo que significa que un puerto de administración quedó expuesto. Este puerto proporcionó al actor de amenazas acceso inicial sin necesidad de la GUI de Versa Director.
Sin embargo, el equipo de Black Lotus Labs dice que ha identificado actores de amenazas que explotan la vulnerabilidad en cuatro empresas estadounidenses y una empresa no estadounidense en los sectores ISP, MSP y TI desde el 12 de junio. Versa ha dicho que los casos basados en las observaciones de un El proveedor externo “no está confirmado hasta la fecha”.
En su informe, los analistas escribieron: “Los actores de amenazas obtienen acceso administrativo inicial a través de un puerto de administración Versa expuesto destinado al emparejamiento de alta disponibilidad (HA) de nodos Director, lo que conduce a la explotación y el despliegue del shell web VersaMem”.
CISA recomienda que todas las vulnerabilidades incluidas en el Catálogo de vulnerabilidades explotadas conocidas se solucionen rápidamente como parte de la práctica de gestión de vulnerabilidades de la empresa.
¿Cómo se puede explotar CVE-2024-39717?
CVE-2024-39717 permite a usuarios autenticados con privilegios de alto nivel cargar archivos maliciosos, a veces disfrazados de imágenes, que luego pueden ejecutar código dañino. Una vez explotada, la vulnerabilidad se puede utilizar para obtener acceso no autorizado y aumentar privilegios.
Los actores de la amenaza Volt Typhoon obtuvieron acceso privilegiado a Versa Director al explotar un puerto de administración de Versa expuesto destinado al emparejamiento de alta disponibilidad de nodos Director. Luego implementaron un shell web personalizado en el servidor web Apache Tomcat, dándoles control remoto, antes de utilizar técnicas de inyección de memoria para insertar código malicioso en procesos Tomcat legítimos. Dicho código inyectado les permitió ejecutar comandos y controlar el sistema comprometido mientras se mezclaban con el tráfico normal.
Finalmente, modificaron la funcionalidad de autenticación “setUserPassword” de Versa para interceptar y capturar las credenciales del cliente en texto sin formato, que luego podrían usar para comprometer la infraestructura del cliente.
El shell web también se utilizó para conectar la funcionalidad de filtrado de solicitudes ‘doFilter’ de Tomcat e interceptar solicitudes HTTP entrantes. Luego, los actores de amenazas pueden inspeccionarlos en busca de información confidencial o cargar dinámicamente módulos Java en memoria.
¿Quién es Volt Typhoon?
Volt Typhoon es un grupo de piratería patrocinado por el estado chino que ha realizado cientos de ataques a infraestructuras críticas desde que entró en actividad a mediados de 2021. En mayo de 2023, Microsoft publicó una advertencia sobre el grupo que afirmaba que utilizaba técnicas de ciberespionaje y extracción de datos para “vivir de la tierra”.
En diciembre de 2023, una investigación del FBI descubrió un ataque de botnet de amplio alcance por parte de la pandilla, creado a partir de cientos de enrutadores de propiedad privada en los EE. UU. y sus territorios de ultramar. El mes siguiente, los investigadores del Departamento de Justicia dijeron que el malware se había eliminado de los enrutadores afectados, neutralizando la botnet.
Recomendaciones para proteger los servidores Versa Director
Versa Networks y Lumen Technologies hacen una serie de recomendaciones a los usuarios de los servidores Versa Director:
- Parche inmediatamente: Hay parches disponibles para las versiones 21.2.3, 22.1.2 y 22.1.3.
- Aplique las mejores prácticas de endurecimiento: Versa Networks recomienda seguir sus requisitos de firewall y protección del sistema.
- Verifique si la vulnerabilidad ya ha sido explotada:
a) Inspeccione “/var/versa/vnms/web/custom_logo/” en busca de archivos sospechosos. Ejecute el comando “file -b –mime-type ” para informar el tipo de archivo como “imagen/png”.
b) Busque interacciones con el puerto 4566 en servidores Versa Director desde IP de nodo que no sean Versa (por ejemplo, dispositivos SOHO).
c) Verifique si hay cuentas de usuario recién creadas y otros archivos anormales.
d) Revisar las cuentas, los registros y las credenciales existentes y clasificar cualquier intento de movimiento lateral si se detectan indicadores de compromiso. - Bloquear el acceso externo a los puertos 4566 y 4570: Asegúrese de que los puertos solo estén abiertos entre los nodos Versa Director activo y en espera para el tráfico de emparejamiento HA. Lea el artículo de atención al cliente titulado Explotación de puertos HA de Versa Director: descubrimiento y corrección.
Para obtener más información técnica, indicadores de compromiso y recomendaciones, consulte el informe de Black Lotus Labs y las reglas de YARA para la búsqueda de amenazas.
