Piratas informáticos maliciosos que probablemente trabajan en nombre del gobierno chino han estado explotando una vulnerabilidad de día cero de alta gravedad que les permitió infectar al menos cuatro ISP con sede en Estados Unidos con malware que roba credenciales utilizadas por clientes posteriores, dijeron investigadores el martes.
La vulnerabilidad reside en la Directora Versauna plataforma de virtualización que permite a los ISP y proveedores de servicios administrados gestionar infraestructuras de red complejas desde un único panel de control, según investigadores de Black Lotus Labs, la rama de investigación de la firma de seguridad Lumen. dichoLos ataques, que comenzaron a más tardar el 12 de junio y probablemente sigan en curso, permiten a los actores de amenazas instalar «VersaMem», el nombre que Lumen le dio a un shell web personalizado que brinda control administrativo remoto de los sistemas Versa Director.
Obtener el control administrativo de la infraestructura del ISP
El control administrativo permite que VersaMem se ejecute con los privilegios necesarios para enganchar los métodos de autenticación de Versa, lo que significa que el shell web puede secuestrar el flujo de ejecución para que introduzca nuevas funciones. Una de las funciones que VersaMem agregó incluye la captura de credenciales en el momento en que un cliente de ISP las ingresa y antes de que se conviertan en hash criptográfico. Una vez en posesión de las credenciales, los actores de amenazas trabajan para comprometer a los clientes. Black Lotus no identificó a ninguno de los ISP, MSP o clientes posteriores afectados.
CVE-2024-39717, como se rastrea el día cero, es una vulnerabilidad de carga de archivos no saneados que permite la inyección de archivos Java maliciosos que se ejecutan en los sistemas Versa con privilegios elevados. Versa Se parchó la vulnerabilidad El lunes, después de que Lumen informara de forma privada, todas las versiones de Versa Director anteriores a la 22.1.4 se vieron afectadas. Para pasar desapercibidos, el actor de amenazas lanzó sus ataques a través de enrutadores de pequeñas oficinas y oficinas domésticas comprometidos.
“Dada la gravedad de la vulnerabilidad, la sofisticación de los actores de la amenaza, el papel crítico de los servidores Versa Director en la red y las posibles consecuencias de un compromiso exitoso, Black Lotus Labs considera que esta campaña de explotación es muy significativa”, dice el informe del martes. dicho.
En al menos «algunos casos», dijo Black Lotus en un correo electrónico, el actor de amenazas pareció obtener acceso inicial a los sistemas Versa Director a través del puerto 4566, que Versa usa para proporcionar lo que se conoce como emparejamiento de alta disponibilidad entre nodos. El aviso de Versa se refería a Estos requisitos de firewall El aviso se publicó por primera vez en 2015 y decía: “Los clientes afectados no implementaron las pautas de firewall y fortalecimiento del sistema mencionadas anteriormente, lo que dejó expuesto un puerto de administración en Internet que proporcionó a los actores de amenazas el acceso inicial”.
En la publicación del martes, los investigadores de Black Lotus escribieron:
Black Lotus Labs observó inicialmente tráfico anómalo que se alineaba con la posible explotación de los servidores Versa Director de varias víctimas estadounidenses entre al menos el 12 de junio de 2024 y mediados de julio de 2024. Según el análisis de la telemetría global de Lumen, el puerto de acceso inicial para los sistemas Versa Director comprometidos probablemente fue el puerto 4566 que, según la documentación de Versa, es un puerto de administración asociado con el emparejamiento de alta disponibilidad (HA) entre nodos Versa. Identificamos dispositivos SOHO comprometidos con sesiones TCP a través del puerto 4566 que fueron seguidas inmediatamente por grandes conexiones HTTPS a través del puerto 443 durante varias horas. Dado que el puerto 4566 generalmente está reservado para el emparejamiento de nodos Versa Director y los nodos de emparejamiento generalmente se comunican con este puerto durante períodos prolongados de tiempo, no debería haber ninguna comunicación legítima a ese puerto desde dispositivos SOHO en períodos de tiempo cortos.
Evaluamos el breve lapso de tiempo del tráfico TCP al puerto 4566 seguido inmediatamente por sesiones moderadas a grandes de tráfico HTTPS a través del puerto 443 desde una dirección IP de nodo que no es Versa (por ejemplo, un dispositivo SOHO) como una señal probable de explotación exitosa. Al buscar en la telemetría global de Lumen, identificamos cuatro víctimas estadounidenses y una víctima no estadounidense en los sectores de ISP, MSP y TI, y la primera actividad de explotación ocurrió en un ISP estadounidense el 12 de junio de 2024.
El siguiente gráfico proporciona una descripción general de lo que Black Lotus Labs observa en relación con la explotación de CVE-2024-xxxx y el uso del shell web VersaMem:
Agrandar/ Descripción general del proceso de explotación de Versa Director y la funcionalidad del shell web VersaMem.
