El grupo de ciberespionaje con nexo con China fue rastreado como Tif\u00f3n Volt<\/strong> Se ha atribuido con moderada confianza a la explotaci\u00f3n de d\u00eda cero de una falla de seguridad de alta gravedad revelada recientemente que afecta a Versa Director.<\/p>\n Los ataques apuntaron a cuatro v\u00edctimas estadounidenses y una v\u00edctima no estadounidense en los sectores de proveedores de servicios de Internet (ISP), proveedores de servicios administrados (MSP) y tecnolog\u00eda de la informaci\u00f3n (TI) a partir del 12 de junio de 2024, dijo el equipo de Black Lotus Labs en Lumen Technologies. dicho<\/a> En un informe t\u00e9cnico compartido con The Hacker News, se cree que la campa\u00f1a est\u00e1 en curso contra sistemas Versa Director sin parches.<\/p>\n La falla de seguridad en cuesti\u00f3n es CVE-2024-39717 (puntuaci\u00f3n CVSS: 6.6), un error de carga de archivos que afecta a Versa Director y que fue agregado al cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV) la semana pasada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA).<\/p>\n “Esta vulnerabilidad permiti\u00f3 que los usuarios con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin cargaran archivos potencialmente maliciosos”, dijo Versa dicho<\/a> en un aviso publicado el lunes, se afirma que los clientes afectados no implementaron las pautas de fortalecimiento del sistema y del firewall emitidas en 2015 y 2017, respectivamente.<\/p>\n La falla b\u00e1sicamente permite a los actores de amenazas con privilegios de administrador cargar archivos maliciosos camuflados como archivos de imagen PNG aprovechando la opci\u00f3n “Cambiar favicono” en la interfaz gr\u00e1fica de usuario de Versa Director. Se ha solucionado en las versiones 22.1.4 o posteriores.<\/p>\n El ataque de Volt Typhoon a Versa Networks, un proveedor de servicios de acceso seguro al borde (SASE), no es sorprendente y est\u00e1 en l\u00ednea con la explotaci\u00f3n hist\u00f3rica del adversario de equipos de red de peque\u00f1as oficinas y oficinas en el hogar (SOHO) comprometidos para enrutar el tr\u00e1fico de la red y evadir la detecci\u00f3n durante per\u00edodos prolongados de tiempo.<\/p>\n La empresa con sede en Santa Clara cuenta<\/a> Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile y Verizon entre sus clientes.<\/p>\n “Parte de la atribuci\u00f3n [to Volt Typhoon] “Se basa en el uso de dispositivos SOHO y la forma en que se emplearon”, dijo a The Hacker News Ryan English, investigador de seguridad de Black Lotus Labs de Lumen.<\/p>\n “Pero tambi\u00e9n hubo una combinaci\u00f3n de TTP conocidas y observadas, incluida la infraestructura de red, la explotaci\u00f3n de d\u00eda cero, la selecci\u00f3n estrat\u00e9gica de sectores\/v\u00edctimas espec\u00edficos, el an\u00e1lisis de web shell y otras superposiciones confirmadas de actividad maliciosa”.<\/p>\n Las cadenas de ataque se caracterizan por la explotaci\u00f3n de la falla para entregar un shell web personalizado denominado VersaMem (“VersaTest.png”) que est\u00e1 dise\u00f1ado principalmente para interceptar y recolectar credenciales que permitir\u00edan el acceso a las redes de los clientes posteriores como un usuario autenticado, lo que resulta en un ataque a la cadena de suministro a gran escala.<\/p>\n Otra caracter\u00edstica notable del sofisticado shell web JAR es que es de naturaleza modular y permite a los operadores cargar c\u00f3digo Java adicional para ejecutarlo exclusivamente en la memoria.<\/p>\n La primera muestra de VersaMem fue subido<\/a> a VirusTotal desde Singapur el 7 de junio de 2024. Hasta el 27 de agosto de 2024, ninguno de los motores antimalware ha marcado el shell web como malicioso. Se cree que los actores de amenazas pueden haber estado probando el shell web en la naturaleza en v\u00edctimas no estadounidenses antes de implementarlo en objetivos estadounidenses.<\/p>\n El shell web “aprovecha la instrumentaci\u00f3n Java y Javassist para inyectar c\u00f3digo malicioso en el espacio de memoria del proceso del servidor web Tomcat en los servidores Versa Director explotados”, explicaron los investigadores.<\/p>\n “Una vez inyectado, el c\u00f3digo web shell intercepta la funcionalidad de autenticaci\u00f3n de Versa, lo que permite al atacante interceptar pasivamente las credenciales en texto simple, lo que potencialmente posibilita compromisos posteriores de la infraestructura del cliente a trav\u00e9s del uso leg\u00edtimo de credenciales”.<\/p>\n “Adem\u00e1s, el shell web se conecta a la funcionalidad de filtrado de solicitudes de Tomcat, lo que permite al actor de amenazas ejecutar c\u00f3digo Java arbitrario en la memoria del servidor comprometido mientras evita los m\u00e9todos de detecci\u00f3n basados \u200b\u200ben archivos y protege su shell web, sus m\u00f3dulos y el d\u00eda cero en s\u00ed”.<\/p>\n Para contrarrestar la amenaza que representa el grupo de ataques, se recomienda aplicar las mitigaciones necesarias, bloquear el acceso externo a los puertos 4566 y 4570, buscar de forma recursiva archivos de imagen PNG y escanear en busca de posible tr\u00e1fico de red originado desde dispositivos SOHO al puerto 4566 en los servidores Versa Director.<\/p>\n Volt Typhoon, tambi\u00e9n conocido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda y Voltzite, es una amenaza persistente avanzada que se sabe que est\u00e1 activa durante al menos cinco a\u00f1os y que ataca instalaciones de infraestructura cr\u00edtica en los EE. UU. y Guam con el objetivo de mantener un acceso sigiloso y exfiltrar datos confidenciales.<\/p>\n “Este es un caso que muestra c\u00f3mo Volt Typhoon sigue intentando acceder a sus v\u00edctimas finales de forma paciente e indirecta”, dijo English. “En este caso, han elegido el sistema Versa Director como medio para atacar una encrucijada estrat\u00e9gica de informaci\u00f3n donde podr\u00edan recopilar credenciales y acceso, para luego avanzar por la cadena hasta su v\u00edctima final”.<\/p>\n “La evoluci\u00f3n de Volt Typhoon a lo largo del tiempo nos muestra que, si bien una empresa puede no sentir que llamar\u00eda la atenci\u00f3n de un actor estatal nacional altamente calificado, los clientes a los que se supone que sirve un producto pueden ser el objetivo real y eso nos preocupa a todos”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-avion-chino-Volt-Typhoon-aprovecha-la-falla-del-Versa.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n