Dalış Özeti:
- Verimli bir devlet bağlantılı tehdit aktörü olan Volt Typhoon, internet servis sağlayıcılarını, yönetilen servis sağlayıcılarını ve diğer teknoloji şirketlerini hedef alan bir kampanyada Versa Director sunucularındaki sıfır günlük bir güvenlik açığından yararlanıyor. Black Lotus Labs’tan araştırmacılar Salı günü yayınlanan bir blog yazısında uyarıldı.
- Güvenlik açığı, şu şekilde listelenmiştir: CVE-2024-39717kullanıcıların potansiyel olarak kötü amaçlı dosyaları yüklemelerine olanak tanır ve onlara gelişmiş ayrıcalıklar verir.
- Black Lotus Labs araştırmacıları, kimlik bilgilerini yakalamak ve toplamak ve bir saldırganın kimliği doğrulanmış bir kullanıcı olarak alt akış bilgisayar ağına erişim sağlamasına olanak sağlamak için tasarlanmış VersaMem adını verdikleri özel bir web kabuğu tespit ettiler.
Dalış İçgörüsü:
Volt Typhoon, yakın geçmişte ABD’nin karşı karşıya olduğu en yüksek profilli tehdit aktörlerinden biridir. Ocak ayında, FBI ve diğer federal yetkililer Çin bağlantılı aktörün, Asya-Pasifik bölgesinde olası bir askeri tırmanış durumunda potansiyel olarak dikkat dağıtıcı bir saldırı başlatmak amacıyla kritik altyapı sağlayıcılarına sızmak için aktif olarak çalıştığı konusunda uyarıldı.
Black Lotus Labs araştırmacıları, dördü ABD’de bulunan ve internet servis sağlayıcıları, yönetilen servis sağlayıcıları veya BT şirketleri olan beş hedefte sıfırıncı günü başarıyla istismar eden birden fazla aktör kontrollü küçük ofis/ev ofisi cihazı tespit etti.
“Kötü amaçlı yazılım saldırgana yönetici düzeyinde ayrıcalıklar sağlıyor ve istedikleri her şeyi yüklemelerine olanak tanıyor” dedi Black Lotus Labs’ta kıdemli bilgi güvenliği araştırmacısı Michael Horka“Onların tek amacı pasif kalmak ve veri çalmaktı.”
Horka, tehdit aktörünün veri manipülasyonu gibi başka eylemlerde de bulunabileceğini ancak bu tür faaliyetleri gizlemenin daha zor olacağını söyledi.
Versa Ağları güvenlik açığı için bir yama yayınlandı ve müşterilerle birlikte güncellemeyi uygulamaları ve sistem güçlendirme yönergelerini uygulamaları için çalışıyor. Şirket, CMO Dan Maier’e göre, bir İSS ve iki MSP olmak üzere dünya çapında tehlikeye atılan üç şirketin farkında.
Censys, bunun dışında şunu bildiriyor: Uygulamayı çalıştıran 164 genel ana bilgisayarCensys’te güvenlik araştırmacısı olan Himaja Motheram’a göre, toplamın yaklaşık %15’i veya yaklaşık 25’i bir yönetim portunu açığa çıkarıyor. Bu kuruluşların çoğu, kampanyanın hedeflediği şirket türleri olan telekom veya İSS’lerdir.
Black Lotus Labs bulgularını ABD yetkilileriyle paylaştı. Siber Güvenlik ve Altyapı Güvenlik Ajansı Salı günü kuruluşları gerekli tüm güncellemeleri uygulamaya çağırdıHerhangi bir kötü niyetli faaliyet olup olmadığını kontrol edin ve teyit edilen sonuçları kuruma bildirin.
CISA, bu açığı bilinen istismar edilebilir güvenlik açıkları kataloğuna ekledi.