Çin devlet destekli hack grubu Volt Typhoon, kimlik bilgilerini çalmak ve kurumsal ağları ihlal etmek için özel bir web kabuğu yüklemek için Versa Director'da sıfır günlük bir kusurdan yararlanan saldırıların arkasında.
Versa Director, SD-WAN hizmetleri kullanılarak oluşturulan sanal WAN bağlantılarını yönetmek için bir yönetim platformu ISS ve MSPS kullanımıdır.
Güvenlik açığı CVE-2024-39717 olarak izlenir ve yöneticilerin Versa Director GUI'yi özelleştirmek için özel simgeler yüklemesine izin veren bir özellikte bulunur. Bununla birlikte, kusur yönetici ayrıcalıkları olan tehdit aktörlerinin PNG görüntüleri olarak gizlenmiş kötü amaçlı Java dosyaları yüklemesine izin verdi, bu da daha sonra uzaktan yürütülebilir.
Dün yayınlanan bir danışmada Versa, 21.2.3, 22.1.2 ve 22.1.3 Direktör sürümlerinin kusurdan etkilendiğini söylüyor. En son sürüm 22.1.4'e yükseltme, güvenlik açığını giderir ve yöneticiler satıcının sistem sertleştirme gereksinimlerini ve güvenlik duvarı yönergelerini gözden geçirmelidir.
Versa, BleepingComputer'a bu güvenlik açığını, sisteme giriş yapan kullanıcılardan kimlik bilgilerini toplamak için kullanıldığı için bir ayrıcalık yüksekliği kusuru olarak sınıflandırdıklarını söyledi. Bununla birlikte, cihazda farklı türde kötü amaçlı etkinlik türleri gerçekleştirmek için diğer kötü amaçlı yazılım türleri kullanılabilir.
Lumen'in Black Lotus Labs'taki araştırmacılar, Singapur'dan Virustotal'a yüklenen 'Versatest.png' adlı kötü niyetli bir Java ikili bulduktan sonra 17 Haziran'da Versa sıfır gün güvenlik açığını keşfettiler.
Dosyanın analizi, dahili olarak "yönetmen_tomcat_memshell" olarak adlandırılan, ancak araştırmacılar tarafından "Verslamem" olarak adlandırılan özel bir Java web kabuğunu belirledi. Kötü amaçlı yazılım şu anda Virustotal'da 0 algılamaya sahiptir ve özellikle Versa Direktörleri için tasarlanmıştır.
Global telemetri analiz ettikten sonra, Black Lotus Labs, 12 Haziran 2024'ten beri bu web kabuğunu dağıtmak için sıfır gün olarak bir güvenlik açığı kullanan Soho yönlendiricilerinden gelen trafik tespit etti.
"Port 4566 üzerinden TCP oturumları ile uzlaştırılmış SOHO cihazlarını belirledik ki, 4566 bağlantı noktasının 4566 numaralı bağlantı noktasında büyük HTTP'ler bağlantıları. Zaman dönemleri, kısa zaman dilimlerinde Soho cihazlarından gelen o limana meşru iletişim olmamalıdır.
TCP trafiğinin 4566 numaralı bağlantı noktasına kısa süresini ve ardından, başarılı bir sömürünün olası bir imzası olarak 443 numaralı bağlantı noktasından (örn. SOHO cihazı) 443 numaralı bağlantı noktası üzerinden orta ila büyük oturumlar izliyoruz. "
Güvenlik açığı yönetici ayrıcalıkları gerektirse de, araştırmacılar tehdit aktörlerinin, düğümlerin yüksek kullanılabilirlik (HA) eşleştirilmesi için kullanılan açık bir müdür bağlantı noktası aracılığıyla yüksek ayrıcalıklar kazanabildiklerini söylüyorlar.
Versa, bunu BleepingComputer'a doğruladı ve tehdit aktörlerinin bu adımları kullanarak kimlik bilgilerini çalmak için güvenlik açığından yararlandığını açıkladı:
Versa, HA limanı şirketin güvenlik duvarı yönergelerine göre korunursa, tehdit aktörlerinin kusurdan yararlanamayacağını söylüyor. Portun varsayılan olarak neden açık olduğu sorulduğunda, Versa yüksek kullanılabilirlik özelliği için gerekli olduğunu söyledi.
Black Lotus Labs, 20 Temmuz'da Versa'yı bildirdi ve daha sonra 26 Temmuz'da müşterileri özel olarak uyardı.
Özel Verslamem Web kabuğu, öncelikle hedeflenen dahili ağı ihlal etmek için meşru kullanıcıların kimlik bilgilerini çalmak için kullanılır. Bu çalınan şifreler şifrelenir ve tehdit aktörleri tarafından daha sonra alınması için /tmp/.temp.data dosyasına kaydedilir.
Özel web kabuğu, saldırganlar tarafından gönderilen bellek içi Java bayt kodunu da gizlice yükleyebilir, bu da daha sonra tehlikeye atılan Versa Director cihazında çalışan Tomcat web sunucusunda yürütülür.
Black Lotus Labs, BleepingComputer'a ABD'deki dört organizasyonu bildiklerini ve Hindistan'da bir tanesini sıfır günden etkilediğini ve tehdit aktörlerinin saldırılardan en az birinde ağı ihlal ettiklerini söyledi.
"Dört ABD kurbanında bu sıfır gün güvenlik açığından yararlanan küresel telemetri tanımlanmış aktör kontrollü küçük ofis/ev ofis (SOHO) cihazlarımızın analizi (SOHO) cihazları ve İnternet servis sağlayıcısında (ISS) ABD olmayan bir kurban (Yönetilen Hizmet Sağlayıcı ( MSP) ve bilgi teknolojisi (BT) sektörleri 12 Haziran 2024 gibi erken bir tarihte, "diye açıkladı Black Lotus Labs.
Müşteriler, şüpheli dosyalar için/var/Versa/VNMS/Web/Custom_logo/klasörünü inceleyerek cihazlarının tehlikeye girip girmediğini kontrol edebilirler. Lumen'in Black Lotus Labs, yeni oluşturulan hesaplar için yöneticilerin kontrol cihazlarını ve 4566 ve 4570 bağlantı noktalarındaki HA bağlantı noktasına erişimi kısıtlamasını önerir.
Araştırmacılar, bu kampanya ile ilgili tam bir IOC listesini ve rapordaki saldırıları azaltmak için diğer adımları paylaştılar.
Bu hikayenin yayınlanmasından sonra, siber güvenlik firması Censys, BleepingComputer'a 163 Versa yönetmen sunucusunu internette maruz bıraktığını gördüklerini söyledi.
Bu sunuculardan BleepingComputer, güvenlik açığından yararlanmak için gereken yükseltilmiş ayrıcalıkları kazanmak için kullanılabilecek yüksek kullanılabilirlik bağlantı noktalarını açığa çıkardıkları için sekizinin savunmasız olabileceğini belirledi.
Bu sekiz sunucudan beşi ABD'de, biri Çin'de, biri Hong Kong'da ve sonuncusu Çek Cumhuriyeti.
Araştırmacılar bu saldırıları bilinen taktikler, teknikler ve prosedürlere dayanan Volt Typhoon, yani bronz siluetle ilişkilendirdiler.
Volt Typhoon, Soho yönlendiricilerini ve VPN cihazlarını ele geçirdiği bilinen Çin devlet destekli bir hack grubudur ve bunları hedeflenen kuruluşlara gizli saldırılar başlatmak için kullanır.
Tehdit aktörleri, kötü niyetli trafiklerini meşru trafikle harmanlamak için tehlikeye atılmış yönlendiriciler, güvenlik duvarları ve VPN cihazları kullanır, böylece saldırılar tespit edilmez.
Aralık 2023'te Black Lotus Labs, Volt Typhoon'un hedeflenen ağlarda saldırıları başlatmak için kullanılan 'KV-Botnet'i oluşturmak için Soho yönlendiricileri, VPN cihazları ve IP kameralarından ödün verdiğini açıkladı. Bu kampanyada kötü amaçlı yazılımlara ev sahipliği yapmaktan ödün verilen cihazlar arasında Netgear Prosafe güvenlik duvarları, Cisco RV320s, Draytek Vigor yönlendiricileri ve Axis IP kameraları vardı.
Bir ay sonra, CISA ve FBI, küçük ofis/ev ofisi (SOHO) yönlendiricilerinin üreticilerini, cihazlarının Volt Typhoon'un saldırılarına karşı güvenliğini sağlamak için arayan ortak bir danışmanlık yayınladılar.
Aynı gün FBI, Volt Typhoon'un KV-Botnet'i bozduklarını açıkladı.
Şubat ayında Volt Typhoon, Fortios SSL VPN'de özel kötü amaçlı yazılım yüklemek için bir uzaktan kod yürütme kırılganlığından yararlandı ve saldırılardan etkilenen 20.000'den fazla Fortinet cihaz.
GÜNCELLEME 8/27/24: Censys'ten ortaya çıkan sunucular hakkında bilgi eklendi.
Versa Düzeltmeleri Yönetmen Saldırılarda Sökülen Zero Day Güvenlik Açığı
Google, bu yıl kullanıldığı gibi onuncu bir krom sıfır gün etiketliyor
Google, bu yıl kullanıldığı gibi etiketlenen dokuzuncu chrome sıfır gün
Yeni Windows Smartscreen Bypass Mart ayından bu yana sıfır gün olarak sömürüldü
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Kaynak: Bleeping Computer