A Versa Director zero-day kihasználása
A Lumen Technologies Black Lotus Labs csapata felfedezte a Versa Director szerverekben a CVE-2024-39717 néven azonosított és 2024. augusztus 22-én nyilvánosan bejelentett zero-day sérülékenység aktív kihasználását. Ez a sérülékenység a Versa szoftveresen definiált széleskörű hálózati (SD-WAN) alkalmazásokban található, és a 22.1.4 előtti összes Versa Director verziót érinti. A Versa Director kiszolgálók kezelik az SD-WAN szoftvert futtató ügyfelek hálózati konfigurációit, és gyakran internetszolgáltatók (ISP-k) és menedzselt szolgáltatók (MSP-k) használják őket. A Director kiszolgálók lehetővé teszik a Versa SD-WAN funkcióinak összehangolását, ami kritikus és vonzó célpontként pozícionálja őket a kiberszereplők számára, akik a vállalati hálózatkezelésen belül akarják kiterjeszteni hatókörüket.
A Black Lotus Labs azonosított egy egyedi, testreszabott web shell-t, amely ehhez a sérülékenységhez kapcsolódik, és amelyet „VersaMem”-nek neveztek el. A web shell elsődleges célja a hitelesítő adatok elfogása és begyűjtése, amelyek lehetővé tennék, hogy hitelesített felhasználóként hozzáférjenek a downstream ügyfelek hálózataihoz. A VersaMem emellett moduláris jellegű, és lehetővé teszi a kiberszereplők számára, hogy további Java-kódot töltsenek be, hogy kizárólag a memóriában fusson. A Lumen globális telemetriáinak elemzése során a szereplők által ellenőrzött SOHO (small-office/home-office) eszközöket azonosítottak, amelyek már 2024. június 12-én négy amerikai és egy nem amerikai áldozatnál kihasználták ezt a zero-day sérülékenységet az internetszolgáltatói (ISP), a menedzselt szolgáltatói (MSP) és az informatikai (IT) szektorban. A kiberszereplők a Director csomópontok nagy rendelkezésre állású (HA) párosítására szánt, kitett Versa menedzsment porton keresztül szereznek kezdeti rendszergazdai hozzáférést, ami a kihasználáshoz és a VersaMem web shell telepítéséhez vezet.
Az ismert és megfigyelt taktikák és technikák alapján a Black Lotus Labs a CVE-2024-39717 zero-day kihasználását és a VersaMem web shell operatív használatát mérsékelt bizalommal tulajdonítja a Volt Typhoon és Bronze Silhouette néven ismert, kínai államilag támogatott kiberszereplőknek.
