چرا این مهم است: آسیبپذیری روز صفر که بر ISPها و ارائهدهندگان خدمات مدیریت شده تأثیر میگذارد، یک نگرانی جدی است، زیرا اگر در مقیاس بزرگتر مورد بهرهبرداری قرار گیرد، میتواند به راحتی بر زیرساختهای حیاتی و امنیت ملی تأثیر بگذارد. علاوه بر این، مشکوک بودن مشارکت گروه های هکری تحت حمایت دولت چین مانند Volt Typhoon و Bronze Silhouette این آسیب پذیری را به ویژه نگران کننده می کند. خطر اختلال گسترده بر آسیب پذیری خدمات اصلی ما در برابر حملات سایبری تاکید می کند.
Black Lotus Labs آسیب پذیری جدیدی را در سرورهای Versa Director کشف کرده است، یک پلت فرم مجازی سازی که به طور گسترده توسط ISP ها و ارائه دهندگان خدمات مدیریت شده استفاده می شود. این آسیبپذیری که ممکن است به گروههای هکری تحت حمایت دولت چین مرتبط باشد، خطر قابل توجهی برای این مؤسسات به همراه دارد.
این نقص مهم به عنوان CVE-2024-39717 شناسایی شده است، در 22 آگوست 2024 به طور عمومی اعلام شد و همه نسخه های Versa Director قبل از 22.1.4 را تحت تأثیر قرار می دهد. این آسیب پذیری به ویژه برای ISP ها و ارائه دهندگان خدمات مدیریت شده نگران کننده است، زیرا آنها برای مدیریت تنظیمات شبکه به برنامه های شبکه گسترده (SD-WAN) نرم افزار تعریف شده Versa متکی هستند.
کشف این آسیبپذیری به دلیل توانایی آن در نفوذ به شبکههای سازمانی از طریق سرورهای Versa Director، که مسئولیت عملکردهای اصلی شبکه را بر عهده دارند، نگرانی زیادی را ایجاد کرده است. Black Lotus Labs یک رابط وب سفارشی به نام “VersaMem” را شناسایی کرده است که از این آسیب پذیری برای استخراج اعتبارنامه های ورود استفاده می کند.
یکی از ویژگی های قابل توجه VersaMem ماژولار بودن آن است که به آن اجازه می دهد کد جاوا اضافی را مستقیماً در حافظه سرور بارگذاری کند و به طور موثر از شناسایی جلوگیری کند.
دادههای نظارت جهانی از آزمایشگاههای بلک لوتوس نشان میدهد که این آسیبپذیری توسط دستگاههای اداری/دفتر خانگی کوچک آسیبدیده در حملاتی که چهار قربانی را در ایالات متحده و یک قربانی در خارج از کشور هدف قرار میدهند، مورد سوء استفاده قرار گرفته است. این حملات، که عمدتاً بر ISP، ارائه دهندگان خدمات مدیریت شده و بخشهای فناوری اطلاعات تأثیر میگذارد، از 12 ژوئن 2024 ادامه داشته است.
مهاجمان در ابتدا با بهرهبرداری از یک پورت مدیریتی در معرض دید در Versa Director که برای اتصال گرههای Director برای دسترسی بالا طراحی شده است، دسترسی پیدا میکنند و سپس از آن برای استقرار پوسته وب VersaMem استفاده میکنند.
Black Lotus Labs مشکوک است که گروه های هکری تحت حمایت دولت چین، موسوم به Volt Typhoon و Bronze Silhouette، از این آسیب پذیری سوء استفاده می کنند. تجزیه و تحلیل آن نشان می دهد که Volt Typhoon به طور فعال سیستم های Versa Director وصله نشده را هدف قرار می دهد.
Black Lotus Labs کمپین بهرهبرداری را به دلیل شدت آسیبپذیری، پیچیدگی عوامل تهدید و نقش مهمی که سرورهای Versa Director در عملیات شبکه ایفا میکنند، بسیار مهم میداند.
به سازمان هایی که از Versa Director استفاده می کنند اکیداً توصیه می شود که به نسخه 22.1.4 یا بالاتر ارتقا دهند. علاوه بر این، باید اعلامیه های امنیتی صادر شده توسط Versa Networks در تاریخ 26 ژوئیه 2024 و 8 اوت 2024 را بررسی کند.
شدت این آسیبپذیری و عواقب احتمالی هک Versa Director، آزمایشگاههای بلک لوتوس را بر آن داشت تا این اطلاعات را به صورت عمومی منتشر کند.
Lumen Technologies همچنین این اطلاعات تهدید حیاتی را با سازمان های دولتی مربوطه ایالات متحده به اشتراک گذاشت تا آنها را در مورد خطرات احتمالی برای دارایی های استراتژیک ملی آگاه کند.