Ciberataque chinês explora falha em Versa Director
28 de Agosto de 2024

O grupo de espionagem cibernética associado à China, conhecido como Volt Typhoon, foi identificado com moderada confiança como o responsável pela exploração de um zero-day em uma falha de segurança de alta gravidade recentemente divulgada que impacta o Versa Director.

Os ataques visaram quatro vítimas nos EUA e uma vítima fora dos EUA nos setores de provedores de serviço de Internet (ISP), provedores de serviço gerenciado (MSP) e tecnologia da informação (IT) a partir de 12 de junho de 2024, disse a equipe da Black Lotus Labs da Lumen Technologies em um relatório técnico compartilhado com o The Hacker News.

Acredita-se que a campanha ainda esteja em andamento contra sistemas Versa Director não corrigidos.

A falha de segurança em questão é a CVE-2024-39717 (pontuação CVSS: 6.6), um bug de upload de arquivo que afeta o Versa Director e que foi adicionado ao catálogo Known Exploited Vulnerabilities (KEV) na semana passada pela U.S. Cybersecurity and Infrastructure Security Agency (CISA).

"Essa vulnerabilidade permitia o upload de arquivos potencialmente maliciosos por usuários com privilégios de Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin," disse a Versa em um aviso divulgado segunda-feira(26), afirmando que os clientes afetados falharam em implementar diretrizes de endurecimento do sistema e firewall emitidas em 2015 e 2017, respectivamente.

A falha permite, essencialmente, que atores de ameaças com privilégios de administrador façam upload de arquivos maliciosos disfarçados de arquivos de imagem PNG, aproveitando-se da opção "Alterar Favicon" na GUI do Versa Director.

Isso foi corrigido nas versões 22.1.4 ou posteriores.

A escolha da Volt Typhoon em mirar nas redes da Versa Networks, um fornecedor de secure access service edge (SASE), não é surpreendente e está alinhada com a exploração histórica do adversário de equipamentos de rede comprometidos de pequenos escritórios e home offices (SOHO) para rotear tráfego de rede e evitar detecção por longos períodos.

A empresa, baseada em Santa Clara, tem entre seus clientes Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile e Verizon.

"Parte da atribuição [à Volt Typhoon] é baseada no uso de dispositivos SOHO, e na maneira como foram empregados," disse Ryan English, pesquisador de segurança nos Black Lotus Labs da Lumen.

Mas houve também uma combinação de TTPs conhecidos e observados, incluindo infraestrutura de rede, exploração de zero-day, direcionamento estratégico de setores/vítimas específicos, análise de web shell e outras sobreposições confirmadas de atividade maliciosa.

As cadeias de ataque são caracterizadas pela exploração da falha para entregar um web shell sob medida chamado VersaMem ("VersaTest.png"), projetado principalmente para interceptar e colher credenciais que permitiriam acesso às redes dos clientes downstream como um usuário autenticado, resultando em um ataque à cadeia de suprimento em larga escala.

Outra característica notável do sofisticado web shell JAR é que ele é modular por natureza e permite que os operadores carreguem código Java adicional para ser executado exclusivamente na memória.

A primeira amostra do VersaMem foi carregada para o VirusTotal de Singapura em 7 de junho de 2024.

Até 27 de agosto de 2024, nenhum dos motores anti-malware marcou o web shell como malicioso.

Acredita-se que os atores de ameaças possam ter testado o web shell no mundo real em vítimas fora dos EUA antes de implantá-lo em alvos nos EUA.

O web shell "utiliza instrumentação Java e Javassist para injetar código malicioso no espaço de memória do processo do servidor web Tomcat em servidores Versa Director explorados", explicaram os pesquisadores.

Uma vez injetado, o código do web shell se conecta à funcionalidade de autenticação da Versa, permitindo que o atacante intercepte passivamente credenciais em texto simples, potencialmente possibilitando comprometimentos downstream da infraestrutura do cliente através do uso legítimo de credenciais.

Além disso, o web shell se conecta à funcionalidade de filtragem de solicitações do Tomcat, permitindo que o ator da ameaça execute código Java arbitrário na memória no servidor comprometido, evitando métodos de detecção baseados em arquivos e protegendo seu web shell, seus módulos e o próprio zero-day.

Para contrariar a ameaça representada pelo conjunto de ataques, é aconselhado aplicar as medidas de mitigação necessárias, bloquear o acesso externo às portas 4566 e 4570, buscar recursivamente por arquivos de imagem PNG e procurar por possíveis tráfegos de rede originados de dispositivos SOHO para a porta 4566 em servidores Versa Director.

Volt Typhoon, que também é conhecido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda e Voltzite, é uma ameaça persistente avançada conhecida por estar ativa há pelo menos cinco anos, visando instalações de infraestrutura crítica nos EUA e em Guam com o objetivo de manter acesso discreto e exfiltrar dados sensíveis.

No entanto, o Centro de Resposta de Emergência a Vírus de Computador Nacional da China (CVERC) alegou que o ator de ameaça é uma invenção das agências de inteligência dos EUA, descrevendo-o como uma campanha de desinformação e que na verdade é um grupo de ransomware conhecido como Dark Power.

"Este é um caso que mostra como a Volt Typhoon continua tentando ganhar acesso a suas vítimas finais pacientemente e indiretamente", disse English.

Aqui eles visaram o sistema Versa Director como um meio de atacar um cruzamento estratégico de informações onde eles poderiam reunir credenciais e acesso, e então mover-se pela cadeia até sua vítima final.

A evolução da Volt Typhoon ao longo do tempo nos mostra que, enquanto uma empresa pode não sentir que atrairia a atenção de um ator de estado-nação altamente qualificado, os clientes que um produto serve podem ser o alvo real e isso nos preocupa a todos.

De acordo com dados da empresa de gerenciamento de superfície de ataque Censys, existem 163 instâncias do Versa Director que estão expostas e acessíveis publicamente pela internet.

As organizações são aconselhadas a "segmentar esses dispositivos em uma rede protegida para que não estejam expondo portas à internet pública."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...