Một lỗ hổng zero-day mới được phát hiện trong phần mềm Versa Director đang bị các tin tặc được cho là do nhà nước Trung Quốc tài trợ khai thác tích cực, có khả năng xâm phạm các nhà cung cấp dịch vụ internet (ISP) và nhà cung cấp dịch vụ quản lý (MSP) lớn tại Hoa Kỳ.
Lỗ hổng
Lỗ hổng nghiêm trọng này, được xác định là CVE-2024-39717, ảnh hưởng đến tất cả các phiên bản của Versa Director trước 22.1.4. Versa Director là một thành phần quan trọng được các ISP và MSP sử dụng để quản lý cấu hình mạng cho mạng diện rộng được định nghĩa bằng phần mềm (SD-WAN).
Cuộc tấn công
Các nhà nghiên cứu bảo mật tại Black Lotus Labs của Lumen đã quan sát thấy lỗ hổng này bị khai thác từ ít nhất ngày 12 tháng 6 năm 2024. Những kẻ tấn công, được cho là thuộc các nhóm tin tặc có tên Volt Typhoon và Bronze Silhouette, sử dụng một web shell tùy chỉnh tinh vi có tên VersaMem để chèn mã độc vào các máy chủ Versa Director.
Hình ảnh trực quan hóa dữ liệu phức tạp liên quan đến các cuộc tấn công mạng, thể hiện các chiến thuật tinh vi mà tin tặc sử dụng để khai thác lỗ hổng |
Tác động và Phạm vi
Cho đến nay, các cuộc tấn công đã nhắm vào bốn nạn nhân trong nước Mỹ và một nạn nhân ngoài Mỹ, chủ yếu trong các lĩnh vực ISP, MSP và IT. Tác động tiềm tàng là rất nghiêm trọng, vì các máy chủ Versa Director bị xâm phạm có thể cho phép kẻ tấn công:
- Đánh cắp thông tin đăng nhập dưới dạng văn bản thuần túy
- Có khả năng xâm phạm cơ sở hạ tầng khách hàng hạ nguồn
- Chèn thêm mã độc trực tiếp vào bộ nhớ máy chủ
- Tránh bị phát hiện thông qua các kỹ thuật tinh vi
Khuyến nghị
Các tổ chức sử dụng Versa Director được khuyến cáo mạnh mẽ nên:
- Nâng cấp lên phiên bản 22.1.4 hoặc cao hơn ngay lập tức
- Theo dõi hoạt động đáng ngờ trên cổng 4566
- Tìm kiếm các tệp .png trái phép trong thư mục gốc web của Versa
- Kiểm tra tài khoản người dùng và xem xét nhật ký hệ thống
- Thay đổi thông tin đăng nhập nếu nghi ngờ bị xâm phạm
Ý nghĩa rộng hơn
Cuộc tấn công này nhấn mạnh tầm quan trọng của việc nghiên cứu lỗ hổng và kiểm tra bảo mật sản phẩm, đặc biệt là đối với phần mềm được sử dụng trong quản lý cơ sở hạ tầng quan trọng. Sự tham gia của các tác nhân được cho là do nhà nước Trung Quốc tài trợ làm tăng thêm chiều kích địa chính trị cho mối đe dọa, có khả năng ảnh hưởng đến an ninh quốc gia.
Như Douglas McKee, Giám đốc điều hành Nghiên cứu Mối đe dọa tại SonicWall, đã lưu ý: Cuộc tấn công này nhấn mạnh cách các lỗ hổng chưa được phát hiện và do đó chưa được vá có thể bị các tác nhân đe dọa tinh vi lợi dụng để xâm nhập và xâm phạm cơ sở hạ tầng quan trọng.
Sự cố này là một lời nhắc nhở rõ ràng về những thách thức an ninh mạng liên tục mà các tổ chức quản lý các dịch vụ mạng thiết yếu phải đối mặt và khả năng gây gián đoạn trên diện rộng thông qua các cuộc tấn công có mục tiêu vào các thành phần cơ sở hạ tầng quan trọng.