إعصار فولت الصيني يستغل خلل Versa Director ويستهدف قطاعات تكنولوجيا المعلومات الأمريكية والعالمية

تم تعقب مجموعة التجسس الإلكتروني الصينية Nexus على أنها فولت تايفون يُعزى ذلك بثقة معتدلة إلى الاستغلال الفوري لثغرة أمنية شديدة الخطورة تم الكشف عنها مؤخرًا وتؤثر على Versa Director.

استهدفت الهجمات أربعة ضحايا أمريكيين وضحية واحدة غير أمريكية في قطاعات مزود خدمة الإنترنت (ISP) ومقدمي الخدمات المُدارة (MSP) وتكنولوجيا المعلومات (IT) في وقت مبكر من 12 يونيو 2024، حسبما ذكر فريق Black Lotus Labs في شركة Lumen Technologies. قال في تقرير فني تمت مشاركته مع The Hacker News. يُعتقد أن الحملة مستمرة ضد أنظمة Versa Director غير المصححة.

الثغرة الأمنية المعنية هي CVE-2024-39717 (درجة CVSS: 6.6)، وهو خطأ في تحميل ملف يؤثر على Versa Director تمت إضافته إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV) الأسبوع الماضي من قبل وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). .

“سمحت هذه الثغرة الأمنية بتحميل الملفات الضارة المحتملة من قبل المستخدمين الذين لديهم امتيازات Provider-Data-Center-Admin أو Provider-Data-Center-System-Admin” قال في تقرير استشاري صدر يوم الاثنين، يفيد بأن العملاء المتأثرين فشلوا في تنفيذ إرشادات تقوية النظام وجدار الحماية الصادرة في عامي 2015 و2017، على التوالي.

يتيح الخلل بشكل أساسي للجهات الفاعلة التي تتمتع بامتيازات المسؤول تحميل ملفات ضارة مموهة كملفات صور PNG من خلال الاستفادة من خيار “تغيير الرمز المفضل” في واجهة المستخدم الرسومية Versa Director. تمت معالجتها في الإصدارات 22.1.4 أو الأحدث.

إن استهداف Volt Typhoon لشركة Versa Networks، وهي شركة تقدم خدمة الوصول الآمن (SASE)، ليس مفاجئًا ويتماشى مع الاستغلال التاريخي للخصم لمعدات شبكة المكاتب الصغيرة والمكاتب المنزلية (SOHO) المخترقة لتوجيه حركة مرور الشبكة وتجنب الكشف لفترات طويلة. فترات زمنية.

الشركة التي يقع مقرها في سانتا كلارا التهم Adobe، Axis Bank، Barclays، Capital One، Colt Technology Services، Infosys، Orange، Samsung، T-Mobile، وVerizon من بين عملائها.

“جزء من الإسناد [to Volt Typhoon] وقال رايان إنجليش، الباحث الأمني ​​في Lumen’s Black Lotus Labs، لصحيفة The Hacker News: “يعتمد هذا على استخدام أجهزة SOHO والطريقة التي تم استخدامها بها”.

“ولكن كان هناك أيضًا مزيج من TTPs المعروفة والمرصودة بما في ذلك البنية التحتية للشبكة، والاستغلال الفوري، والاستهداف الاستراتيجي لقطاعات/ضحايا محددين، وتحليل قشرة الويب، وغيرها من التداخلات المؤكدة للنشاط الضار.”

وتتميز سلاسل الهجوم باستغلال الخلل لتقديم غلاف ويب مصمم خصيصًا يطلق عليه اسم VersaMem (“VersaTest.png”)، وهو مصمم بشكل أساسي لاعتراض وجمع بيانات الاعتماد التي من شأنها تمكين الوصول إلى شبكات العملاء النهائية كمستخدم مصادق عليه. مما أدى إلى هجوم واسع النطاق على سلسلة التوريد.

هناك سمة أخرى جديرة بالملاحظة لقذيفة ويب JAR المتطورة وهي أنها ذات طبيعة معيارية وتمكن المشغلين من تحميل تعليمات برمجية Java إضافية لتشغيلها حصريًا في الذاكرة.

أقدم عينة من VersaMem كانت تم الرفع إلى VirusTotal من سنغافورة في 7 يونيو 2024. اعتبارًا من 27 أغسطس 2024، لم يضع أي من محركات مكافحة البرامج الضارة علامة على غلاف الويب باعتباره ضارًا. من المعتقد أن الجهات الفاعلة في مجال التهديد ربما كانت تختبر قشرة الويب في البرية على ضحايا غير أمريكيين قبل نشرها على أهداف أمريكية.

وأوضح الباحثون أن غلاف الويب “يستفيد من أدوات Java وJavassist لحقن تعليمات برمجية ضارة في مساحة ذاكرة عملية خادم الويب Tomcat على خوادم Versa Director المستغلة”.

“بمجرد إدخاله، يقوم كود shell الخاص بالويب بربط وظيفة المصادقة الخاصة بـ Versa، مما يسمح للمهاجم باعتراض بيانات الاعتماد بشكل سلبي في النص العادي، مما قد يؤدي إلى تمكين التنازلات النهائية للبنية التحتية للعميل من خلال الاستخدام المشروع لبيانات الاعتماد.”

“بالإضافة إلى ذلك، تقوم قشرة الويب بربط وظيفة تصفية الطلبات الخاصة بـ Tomcat، مما يسمح لممثل التهديد بتنفيذ تعليمات برمجية Java عشوائية في الذاكرة على الخادم المخترق مع تجنب طرق الكشف المستندة إلى الملفات وحماية قشرة الويب الخاصة به ووحداته ويوم الصفر نفسه “.

لمواجهة التهديد الذي تشكله مجموعة الهجوم، يُنصح بتطبيق إجراءات التخفيف اللازمة، وحظر الوصول الخارجي إلى المنفذين 4566 و4570، والبحث بشكل متكرر عن ملفات صور PNG، والمسح بحثًا عن حركة مرور الشبكة المحتملة الناشئة من أجهزة SOHO إلى المنفذ 4566 على Versa Director. الخوادم.

يعد Volt Typhoon، والذي يتم تتبعه أيضًا باسم Bronze Silhouette وInsidious Taurus وUNC3236 وVangguard Panda وVoltzite، تهديدًا متقدمًا ومستمرًا ومن المعروف أنه نشط لمدة خمس سنوات على الأقل، ويستهدف مرافق البنية التحتية الحيوية في الولايات المتحدة وغوام بهدف الحفاظ على الوصول الخفي وتصفية البيانات الحساسة.

وقال إنجليش: “هذه حالة توضح كيف تواصل فولت تايفون محاولة الوصول إلى ضحاياها النهائيين بصبر وبشكل غير مباشر”. “هنا استهدفوا نظام Versa Director كوسيلة لمهاجمة مفترق طرق استراتيجي للمعلومات حيث يمكنهم جمع بيانات الاعتماد والوصول إليها، ثم الانتقال إلى أسفل السلسلة إلى ضحيتهم النهائية.”

“يُظهر لنا تطور Volt Typhoon بمرور الوقت أنه على الرغم من أن المؤسسة قد لا تشعر بأنها ستجذب انتباه جهة فاعلة ذات مهارات عالية، إلا أن العملاء الذين يهدف المنتج إلى خدمتهم قد يكونون الهدف الحقيقي وهذا ما يجعلنا جميعًا نشعر بالقلق.”