Gelişmiş, ısrarcı saldırganlar, araştırmacılar tarafından VersaMem olarak adlandırılan özel yapım bir web kabuğu ile ABD merkezli yönetilen hizmet sağlayıcılarını tehlikeye atmak için Versa Director’daki sıfır günlük bir güvenlik açığından (CVE-2024-39717) yararlandı. Kötü amaçlı yazılım, saldırganların sağlayıcıların alt akış müşterilerinin ağlarına kimliği doğrulanmış bir kullanıcı olarak erişmesini sağlayan kimlik bilgilerini topluyor.
“Bilinen ve gözlemlenen taktik ve tekniklere dayanarak, [Lumen’s] Lumen’in tehdit araştırma ve operasyon kolu, “Black Lotus Labs, CVE-2024-39717’nin sıfırıncı gün istismarını ve VersaMem web kabuğunun operasyonel kullanımını orta düzeyde bir güvenle Çin devlet destekli tehdit aktörleri Volt Typhoon ve Bronze Silhouette’e bağlıyor” dedi.
“Bu yazının yazıldığı sırada, bu güvenlik açığının istismarının Volt Typhoon ile sınırlı olduğunu ve muhtemelen yama uygulanmamış Versa Director sistemlerine karşı devam ettiğini değerlendiriyoruz.”
Volt Typhoon APT, daha önce ABD’deki kritik altyapı ağlarını hedef almıştı ve FBI, grubun bu ve diğer kuruluşlara saldırmak için kullandığı ABD merkezli SOHO yönlendiricilerinin botnetini bozmuştu.
CVE-2024-39717 istismar edildi
Versa Director, yönetilen hizmet sağlayıcılarının müşterilerine Güvenli Erişim Hizmeti Edge (SASE) hizmetleri sunmak için kullandıkları bir platformdur. Versa Networks tarafından geliştirilmekte ve satılmaktadır.
CVE-2024-39717 güvenlik açığı, belirli ayrıcalıklara sahip kullanıcıların/saldırganların kötü amaçlı bir dosya yüklemesine olanak tanıyan bir güvenlik açığıdır ve geniş halk kitleleri bunu 23 Ağustos’ta Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklemesiyle öğrendi.
“Versa Director GUI, Provider-Data-Center-Admin veya Provider-Data-Center-System-Admin ayrıcalıklarına sahip yöneticilerin kullanıcı arayüzünü özelleştirmesine olanak tanıyan tehlikeli tür güvenlik açığına sahip dosyaların sınırsız yüklenmesini içerir. ‘Favicon’u Değiştir’ (Favori Simge), bir .png kötü amaçlı bir dosya yüklemek için kullanılabilecek bir dosya .png CISA, “Görüntü kılığına girmiş bir uzantı” diye açıkladı.
Pazartesi günü, Versa Networks’ün güvenlik araştırma ekibi bu güvenlik açığı hakkında bir güvenlik duyurusu yayınladı, bunun için bir yama yayımladı ve bunun “bilinen en az bir örneğinde Gelişmiş Kalıcı Tehdit aktörü tarafından” istismar edildiğini doğruladı.
Saldırılar
Salı günü, Black Lotus Labs araştırmacıları, 12 Haziran 2024 gibi erken bir tarihte, ISP / MSP / BT sektörlerinde dört ABD’li ve bir ABD’li olmayan kurbanda sıfırıncı günü istismar eden aktör kontrollü küçük ofis/ev ofisi (SOHO) cihazlarını tespit ettiklerini paylaştı.
“VersaMem web kabuğu, 7 Haziran 2024’te ‘VersaTest.png’ dosya adıyla VirusTotal’a yüklenen ve şu anda sıfır anti-virüs (AV) tespiti olan gelişmiş bir JAR web kabuğudur” açıklamasını yapan araştırmacılar, tehdit aktörlerinin web kabuğunu ABD hedeflerine dağıtmadan önce ABD dışındaki kurbanlar üzerinde vahşi doğada test etmiş olabileceklerini söyledi.
VersaMem, Versa Director ile etkileşime girecek, düz metin kullanıcı kimlik bilgilerini yakalayacak ve bellek içi Java modüllerini dinamik olarak yükleyecek şekilde özel olarak tasarlanmıştır; bu da gizliliğini açıklar.
Saldırılar nasıl gerçekleşti? (Kaynak: Black Lotus Labs)
Araştırmacılar, “Tehlikeye atılan Versa Director sistemleri için ilk erişim portu muhtemelen Versa belgelerine göre Versa düğümleri arasındaki yüksek kullanılabilirlik (HA) eşleştirmesiyle ilişkili bir yönetim portu olan 4566 numaralı porttu” diye eklediler.
“Port 4566 üzerinden TCP oturumları olan ve hemen ardından birkaç saat boyunca port 443 üzerinden büyük HTTPS bağlantıları kurulan tehlikeye atılmış SOHO cihazları tespit ettik.”
Versa Networks, güvenlik duyurusunda, istismarın mümkün olmasının nedeninin, “etkilenen müşterilerin yıllardır mevcut olan sistem güçlendirme ve güvenlik duvarı yönergelerini uygulamaması” ve dolayısıyla yönetim portunun internette açıkta kalması olduğunu tekrar tekrar belirtiyor.
Peki şimdi ne olacak?
Versa, müşterilerine Versa Director’ın sabit sürümlerinden birine (21.2.3, 22.1.2, 22.1.3 veya 22.1.4) yükseltme yapmalarını ve yukarıda belirtilen sistem güçlendirme ve güvenlik duvarı yönergelerini uygulamalarını öneriyor.
“Müşteriler, güvenlik açığının daha önce istismar edilip edilmediğini belirlemek için /var/versa/vnms/web/özel_logo/ Yüklenen şüpheli dosyalar için klasör. Komutu çalıştırma: dosya -b –mime-type <.png file> Şirket, “Dosya türünü ‘image/png’ olarak bildirmelisiniz” dedi ve müşterileri, bu işlemlerden herhangi birinde yardıma ihtiyaç duymaları halinde kendileriyle iletişime geçmeleri konusunda uyardı.
Şirket daha önce 2024 yılının temmuz sonu ve ağustos başında müşterilerine doğrudan rehberlik göndermişti.
Lumen araştırmacıları, tehlike göstergelerini ve ek tespit ve azaltma adımlarını paylaştı.
“Güvenliğin ciddiyeti, tehdit aktörlerinin karmaşıklığı, Versa Director sunucularının ağdaki kritik rolü ve başarılı bir ihlalin potansiyel sonuçları göz önüne alındığında, Black Lotus Labs bu istismar kampanyasını oldukça önemli görüyor” sonucuna vardılar.