هکرهای مرتبط با چین مظنون به سوء استفاده از یک آسیب پذیری امنیتی جدید در نرم افزار مورد استفاده ارائه دهندگان خدمات اینترنتی هستند.

چرا این مهم است: آسیب‌پذیری روز صفر که بر ISPها و ارائه‌دهندگان خدمات مدیریت شده تأثیر می‌گذارد، یک نگرانی جدی است، زیرا اگر در مقیاس بزرگ‌تر مورد بهره‌برداری قرار گیرد، می‌تواند به راحتی بر زیرساخت‌های حیاتی و امنیت ملی تأثیر بگذارد. علاوه بر این، مشکوک بودن مشارکت گروه های هکری تحت حمایت دولت چین مانند Volt Typhoon و Bronze Silhouette این آسیب پذیری را به ویژه نگران کننده می کند. خطر اختلال گسترده بر آسیب پذیری خدمات اصلی ما در برابر حملات سایبری تاکید می کند.

Black Lotus Labs آسیب پذیری جدیدی را در سرورهای Versa Director کشف کرده است، یک پلت فرم مجازی سازی که به طور گسترده توسط ISP ها و ارائه دهندگان خدمات مدیریت شده استفاده می شود. این آسیب‌پذیری که ممکن است به گروه‌های هکری تحت حمایت دولت چین مرتبط باشد، خطر قابل توجهی برای این مؤسسات به همراه دارد.

این نقص مهم به عنوان CVE-2024-39717 شناسایی شده است، در 22 آگوست 2024 به طور عمومی اعلام شد و همه نسخه های Versa Director قبل از 22.1.4 را تحت تأثیر قرار می دهد. این آسیب پذیری به ویژه برای ISP ها و ارائه دهندگان خدمات مدیریت شده نگران کننده است، زیرا آنها برای مدیریت تنظیمات شبکه به برنامه های شبکه گسترده (SD-WAN) نرم افزار تعریف شده Versa متکی هستند.

کشف این آسیب‌پذیری به دلیل توانایی آن در نفوذ به شبکه‌های سازمانی از طریق سرورهای Versa Director، که مسئولیت عملکردهای اصلی شبکه را بر عهده دارند، نگرانی زیادی را ایجاد کرده است. Black Lotus Labs یک رابط وب سفارشی به نام “VersaMem” را شناسایی کرده است که از این آسیب پذیری برای استخراج اعتبارنامه های ورود استفاده می کند.

بخونید:  مایکروسافت برنامه Soundscape خود را بازنشسته می کند، اما کد پروژه را به عنوان نرم افزار منبع باز در دسترس قرار می دهد

یکی از ویژگی های قابل توجه VersaMem ماژولار بودن آن است که به آن اجازه می دهد کد جاوا اضافی را مستقیماً در حافظه سرور بارگذاری کند و به طور موثر از شناسایی جلوگیری کند.

داده‌های نظارت جهانی از آزمایشگاه‌های بلک لوتوس نشان می‌دهد که این آسیب‌پذیری توسط دستگاه‌های اداری/دفتر خانگی کوچک آسیب‌دیده در حملاتی که چهار قربانی را در ایالات متحده و یک قربانی در خارج از کشور هدف قرار می‌دهند، مورد سوء استفاده قرار گرفته است. این حملات، که عمدتاً بر ISP، ارائه دهندگان خدمات مدیریت شده و بخش‌های فناوری اطلاعات تأثیر می‌گذارد، از 12 ژوئن 2024 ادامه داشته است.

مهاجمان در ابتدا با بهره‌برداری از یک پورت مدیریتی در معرض دید در Versa Director که برای اتصال گره‌های Director برای دسترسی بالا طراحی شده است، دسترسی پیدا می‌کنند و سپس از آن برای استقرار پوسته وب VersaMem استفاده می‌کنند.

Black Lotus Labs مشکوک است که گروه های هکری تحت حمایت دولت چین، موسوم به Volt Typhoon و Bronze Silhouette، از این آسیب پذیری سوء استفاده می کنند. تجزیه و تحلیل آن نشان می دهد که Volt Typhoon به طور فعال سیستم های Versa Director وصله نشده را هدف قرار می دهد.

Black Lotus Labs کمپین بهره‌برداری را به دلیل شدت آسیب‌پذیری، پیچیدگی عوامل تهدید و نقش مهمی که سرورهای Versa Director در عملیات شبکه ایفا می‌کنند، بسیار مهم می‌داند.

به سازمان هایی که از Versa Director استفاده می کنند اکیداً توصیه می شود که به نسخه 22.1.4 یا بالاتر ارتقا دهند. علاوه بر این، باید اعلامیه های امنیتی صادر شده توسط Versa Networks در تاریخ 26 ژوئیه 2024 و 8 اوت 2024 را بررسی کند.

بخونید:  Xbox Live Gold به زودی ارائه بازی های ماهانه Xbox 360 را متوقف می کند

شدت این آسیب‌پذیری و عواقب احتمالی هک Versa Director، آزمایشگاه‌های بلک لوتوس را بر آن داشت تا این اطلاعات را به صورت عمومی منتشر کند.

Lumen Technologies همچنین این اطلاعات تهدید حیاتی را با سازمان های دولتی مربوطه ایالات متحده به اشتراک گذاشت تا آنها را در مورد خطرات احتمالی برای دارایی های استراتژیک ملی آگاه کند.

منبع