Çin’in kötü şöhretli Volt Typhoon grubu, Versa Networks’ün Director Sunucularındaki sıfır günlük bir açığı aktif olarak kullanarak, gelecekteki saldırılarda kullanılacak kimlik bilgilerini ele geçiriyor ve topluyor.
Artık CVE-2024-39717 olarak düzeltilen ve takip edilen hata, Versa Director’ın 22.1.4’ten önceki tüm sürümlerini etkiliyor ve kullanıcıların grafiksel kullanıcı arayüzünün (GUI) görünüm ve hissini özelleştirmesine olanak tanıyan bir özellik ile ilgili. Versa Yönetmen sunucular Versa Networks’ün yazılım tanımlı geniş alan ağı (SD-WAN) teknolojisinin bir bileşenidir. Kuruluşların ağ cihazlarını yönetme, trafik yönlendirme, güvenlik politikaları ve SD-WAN ortamının diğer yönlerini merkezi olarak yapılandırmasına, yönetmesine ve izlemesine olanak tanır. Müşterileri arasında İSS’ler, MSP’ler ve birçok büyük kuruluş bulunur.
Versa’daki CMO Dan Maier, saldırganın ayrıcalıklı erişim elde etmek için kimlik bilgilerini toplaması nedeniyle, bu güvenlik açığının bir ayrıcalık yükseltme hatası olarak görülebileceğini söylüyor. Saldırganların, açık bırakılırsa ve İnternet üzerinden erişilebilirse, yüksek kullanılabilirlikli yönetim portları 4566 ve 4570 aracılığıyla Versa Director’a ilk erişimi elde ettiğini belirtiyor.
Maier, “Saldırganlar ilk erişimi elde ettikten sonra, en üst düzey yönetici kimlik bilgilerini elde etmek için ayrıcalıkları artırıyorlar” diyor ve Versa’nın müşterilerine her zaman bu tür yüksek kullanılabilirlikli bağlantı noktalarına erişimi sınırlamaları talimatını verdiğini ekliyor.
Lumen Technologies’in Black Lotus Laboratuvarları’ndan araştırmacılar hatayı keşfettim ve analizlerinin tehdit aktörünün kullandığını gösterdiğini belirtti saldırgan tarafından kontrol edilen küçük ofis/ev ofisi (SOHO) cihazları—Volt Typhoon’un yaygın bir taktiği— yönetim portları aracılığıyla savunmasız Versa Director sistemlerine erişmek.
En Az Haziran Ayından Beri Aktif Sömürü
Lumen araştırmacıları hatayı 21 Haziran’da Versa’ya bildirdiler, yani Volt Typhoon’un ilk kez bundan faydalanmaya başladığına inandıkları tarihten yaklaşık dokuz gün sonra. Versa sıfır günlük açığı doğruladı ve hata için hafifletme yöntemlerini açıklayan bir müşteri duyurusu yayınladı 26 Temmuz’da. Şirket daha sonra 8 Ağustos’ta teknik ayrıntılar içeren ikinci bir duyuru yayınladı ve güvenlik bülteni 26 Ağustos’ta hatayı daha detaylı bir şekilde anlattı.
Lumen araştırmacıları, saldırganın en az beş kurbanı tehlikeye attığını söylüyor; bunlardan dördü ABD merkezli. Lumen, kurban örgütlerinin yönetilen hizmet sağlayıcı, İnternet hizmet sağlayıcı ve BT sektörlerinden olduğunu söyledi.
Lumen araştırmacıları bugün yayımladıkları raporda, Volt Typhoon aktörlerinin etkilenen sistemlerde düz metin kullanıcı kimlik bilgilerini yakalamak için özel bir Web kabuğu olan “VersaMem”i bırakmak için CVE-2024-39717’yi kullandığını söyledi. Tehdit aktörü ayrıca, temeldeki Apache Tomcat Web uygulama sunucusuna gelen tüm istekleri izlemek ve ona dinamik olarak bellek içi Java modülleri yüklemek için VersaMem’i kullanıyor.
Lumen gönderisinde, “Bu yazının yazıldığı sırada, bu güvenlik açığının istismarının Volt Typhoon ile sınırlı olduğunu ve muhtemelen yama uygulanmamış Versa Director sistemlerine karşı da devam ettiğini değerlendiriyoruz” denildi.
Kimlik Bilgilerini Çalan Kötü Amaçlı Yazılımları Önlemek İçin Bağlantı Noktalarını Koruyun
Versa’nın zafiyet ifşasını koordine ettiği HackerOne, zafiyeti yalnızca orta derecede ciddi olarak değerlendirdi ve CVSS ölçeğinde 10 üzerinden 6,6’lık bir temel puan aldı. Hata ödülü firması zafiyeti istismar etmenin karmaşık olduğunu ve yüksek kullanıcı ayrıcalıkları gerektirdiğini belirtti. Ancak Versa, tehlikeli dosyaları Versa Director’a yüklemek için istismar etme olanağı ve potansiyel yaygın ayak izi göz önüne alındığında sorunu endişe verici olarak tanımladı: “Zafiyetin istismar edilmesi zor olsa da ‘yüksek’ olarak derecelendirildi ve sistem güçlendirme ve güvenlik duvarı yönergelerini uygulamamış olan Versa Director kullanan tüm Versa SD-WAN müşterilerini etkiliyor.”
Lumen’in Black Lotus’undan güvenlik araştırmacısı Michael Horka, yukarıda bahsi geçen Versa Director yönetim portları 4566 ve 4570’in dışarıdan açığa çıkarılması durumunda, bu açığın istismar edilmesinin oldukça kolay olduğunu söylüyor.
“Yönetim portu, GUI’ye kimliği doğrulanmamış erişim sağlar ve bu da CVE-2024-39717’nin kullanılmasına olanak tanır ve bu da sınırsız dosya yükleme ve kod yürütmeye yol açar. [VersaMem] “Web kabuğu,” diyor. “Versa Director yönetim portları 4566 ve 4570 dışarıya açık değilse, tehdit aktörünün kimlik bilgisi hırsızlığı, kimlik avı, başka bir güvenlik açığını istismar etme gibi farklı bir yöntemle Web arayüzüne erişmesi gerekir,” diyor. “Bu, başarılı istismarın zorluk seviyesini yükseltir.”
Ayrıca, geçen yıl Versa, sistemi varsayılan olarak güvenli hale getiren ve hatayı istismar edilemez hale getiren güçlendirme önlemleri içeren bir Director yazılımı sürümü tanıttı. Maier, “Müşteri tabanımız bu yazılım sürümüne yükseltme yapma sürecinde” dedi.
CISA, Bilinen İstismar Edilen Güvenlik Açığı Kataloğuna CVE-2024-39717’yi Ekliyor
Saldırılar, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) CVE-2024-39717’yi kataloğuna eklemesine neden oldu bilinen istismar edilen güvenlik açıklarıFederal sivil yürütme organı kurumları, 13 Eylül’e kadar Versa’nın kusuru giderici önlemlerini uygulamalı veya kusur giderilene kadar teknolojinin kullanımını durdurmalıdır.
Volt Typhoon, güvenlik araştırmacıları ve Çin destekli bir gruptur. ABD hükümeti aynı şekilde şu anda aktif olan en tehlikeli, zararlı ve ısrarcı ulus devlet aktörlerinden biri olarak algılanmaktadır. Grup, saldırılarıyla iyi bilinmektedir ABD’nin kritik altyapı hedefleri en azından 2021’e kadar geri dönüyor. Birçok kişi tehdit aktörünün bir gizli varlık ABD’deki çok sayıda televizyon kanalında yayınlanan ve Tayvan’daki jeopolitik gerginliğin ABD ile Çin arasında askeri bir çatışmaya dönüşmesi halinde yaygın bir kesintiye yol açma potansiyeline sahip.
Lumen’deki araştırmacılar, 12 Haziran’da Versa Director Sunucularının olası istismarını gösteren trafiği araştırırken kampanyayı ortaya çıkardı. Analizleri, tehdit aktörünün Haziran başında Web kabuğunu derlediğini ve birkaç gün sonra herhangi bir antivirüs aracının bunu tespit edip edemeyeceğini görmek için VirusTotal’a bir örnek yüklediğini gösterdi. Lumen araştırmacıları, bugün itibarıyla hiçbir antivirüs aracının kötü amaçlı yazılımı tespit edemediğini söyledi.
Versa, müşterilerini yazılımın düzeltilmiş veya güçlendirilmiş sürümlerine yükseltmeye ve ortamlarındaki güvenlik açığından daha önce yararlanan olup olmadığını kontrol etmeye çağırıyor. Şirket ayrıca kuruluşların genel risklerini azaltmak için sistem güçlendirme ve güvenlik duvarı kuralları için yönergelerini uygulamasını istiyor.