Le groupe de piratage informatique soutenu par l’État chinois Volt Typhoon est à l’origine d’attaques qui ont exploité une faille zero-day dans Versa Director pour télécharger un shell Web personnalisé afin de voler des informations d’identification et de violer les réseaux d’entreprise.
Versa Director est une plate-forme de gestion utilisée par les FAI et les MSP pour gérer les connexions WAN virtuelles créées à l’aide des services SD-WAN.
La vulnérabilité est suivie comme CVE-2024-39717 et réside dans une fonctionnalité permettant aux administrateurs de télécharger des icônes personnalisées pour personnaliser l’interface graphique Versa Director. Cependant, la faille permettait aux acteurs de la menace disposant de privilèges d’administrateur de télécharger des fichiers Java malveillants déguisés en images PNG, qui pouvaient ensuite être exécutés à distance.
Dans un avis publié hier, Versa indique que les versions Director 21.2.3, 22.1.2 et 22.1.3 sont affectées par la faille. La mise à niveau vers la dernière version, 22.1.4, corrigera la vulnérabilité, et les administrateurs doivent consulter les exigences de renforcement du système et les directives de pare-feu du fournisseur.
Versa a déclaré à Breachtrace qu’ils classaient cette vulnérabilité comme une faille d’élévation de privilèges car elle était utilisée pour récupérer les informations d’identification des utilisateurs qui se connectaient au système. Cependant, d’autres types de logiciels malveillants auraient pu être utilisés pour effectuer différents types d’activités malveillantes sur l’appareil.
Exploité pour violer les réseaux
Des chercheurs des laboratoires Black Lotus de Lumen ont découvert la vulnérabilité Versa zero-day le 17 juin après avoir trouvé un binaire Java malveillant nommé « VersaTest ».png ‘ téléchargé de Singapour vers VirusTotal.
L’analyse du fichier a déterminé qu’il s’agissait d’un shell Web Java personnalisé nommé en interne « Director_tomcat_memShell », mais surnommé par les chercheurs « VersaMem ». Le malware a actuellement 0 détections sur VirusTotal et est conçu spécifiquement pour Versa Directors.
Après avoir analysé la télémétrie globale, Black Lotus Labs a détecté le trafic des routeurs SOHO exploitant une vulnérabilité Versa comme un jour zéro pour déployer ce shell Web depuis le 12 juin 2024.
« Nous avons identifié des périphériques SOHO compromis avec des sessions TCP sur le port 4566 qui ont été immédiatement suivies par de grandes connexions HTTPS sur le port 443 pendant plusieurs heures. Étant donné que le port 4566 est généralement réservé à l’appairage des nœuds Versa Director et que les nœuds d’appairage communiquent généralement avec ce port pendant de longues périodes, il ne devrait y avoir aucune communication légitime vers ce port à partir de périphériques SOHO sur de courtes périodes.
Nous évaluons le court laps de temps du trafic TCP vers le port 4566 immédiatement suivi de sessions modérées à importantes de trafic HTTPS sur le port 443 à partir d’une adresse IP de nœud non Versa (par exemple, un périphérique SOHO) comme une signature probable d’une exploitation réussie. »
❖ Laboratoires du Lotus Noir
Bien que la vulnérabilité nécessite des privilèges d’administrateur, les chercheurs affirment que les auteurs de la menace ont pu obtenir des privilèges élevés via un port Versa Director exposé utilisé pour le couplage de nœuds à haute disponibilité (HA).
Versa l’a confirmé à Breachtrace , expliquant que les acteurs de la menace ont exploité la vulnérabilité pour voler des informations d’identification en suivant ces étapes:
- Accédez au port HA exposé à l’aide d’un client NCS et créez un compte avec les privilèges Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin.
- Exploitez la vulnérabilité zero-day en utilisant le compte créé à l’étape 1 pour installer le JAR webshell malveillant utilisé pour voler les informations d’identification.
- (Facultatif) Supprimez le compte créé à l’étape 1.
- Récupérez les informations d’identification des utilisateurs légitimes qui se sont connectés après l’étape 2.
Versa indique que les auteurs de la menace n’auraient pas pu exploiter la faille si le port HA était protégé conformément aux directives de pare-feu de l’entreprise. Lorsqu’on lui a demandé pourquoi le port était ouvert par défaut, Versa a répondu qu’il était requis pour la fonctionnalité de haute disponibilité.
Black Lotus Labs a signalé la faille à Versa le 20 juillet, qui a ensuite alerté en privé les clients le 26 juillet.
Le webshell VersaMem personnalisé est principalement utilisé pour voler les informations d’identification des utilisateurs légitimes afin de violer le réseau interne ciblé. Ces mots de passe volés sont cryptés et enregistrés dans /tmp/.temp.fichier de données pour récupération ultérieure par les acteurs de la menace.
Le shell Web personnalisé peut également charger furtivement le code octet Java en mémoire envoyé par les attaquants, qui est ensuite exécuté sur le serveur Web Tomcat exécuté sur le périphérique Versa Director compromis.
Black Lotus Labs a déclaré à Breachtrace qu’ils connaissaient quatre organisations aux États-Unis et une en Inde touchées par le jour zéro, les acteurs de la menace ayant violé le réseau dans au moins une des attaques.
« L’analyse de notre télémétrie mondiale a identifié des appareils SOHO (small office/home office) contrôlés par des acteurs exploitant cette vulnérabilité zero-day chez quatre victimes américaines et une victime non américaine dans les secteurs des fournisseurs de services Internet( FAI), des fournisseurs de services gérés (MSP) et des technologies de l’information (TI) dès le 12 juin 2024 », a expliqué Black Lotus Labs.
Les clients peuvent vérifier si leurs appareils ont été compromis en inspectant le dossier /var/versa/vnms/web/custom_logo/ à la recherche de fichiers suspects. Black Lotus Labs de Lumen recommande aux administrateurs de vérifier les appareils pour les comptes nouvellement créés et de restreindre l’accès au port HA.
Les chercheurs ont partagé une liste complète des IOC liés à cette campagne et d’autres étapes pour atténuer les attaques dans le rapport.
Typhon Volt
Les chercheurs ont lié ces attaques au Volt Typhoon, alias Bronze Silhouette, sur la base de tactiques, techniques et procédures connues.
Volt Typhoon est un groupe de piratage parrainé par l’État chinois connu pour détourner les routeurs SOHO et les appareils VPN et les utiliser pour lancer des attaques furtives contre des organisations ciblées.
Les auteurs de menaces utilisent des routeurs, des pare-feu et des périphériques VPN compromis pour mélanger leur trafic malveillant avec le trafic légitime afin que les attaques ne soient pas détectées.
En décembre 2023, Black Lotus Labs a révélé que Volt Typhoon compromettait les routeurs SOHO, les périphériques VPN et les caméras IP pour créer le « botnet KV », utilisé pour lancer des attaques sur des réseaux ciblés. Les appareils compromis pour héberger le logiciel malveillant dans cette campagne comprenaient des pare-feu Netgear ProSAFE, des Cisco RV320, des routeurs Draytek Vigor et des caméras IP Axis.
Un mois plus tard, la CISA et le FBI ont publié un avis conjoint appelant les fabricants de routeurs de petit bureau/bureau à domicile (SOHO) à assurer la sécurité de leurs appareils contre les attaques de Volt Typhoon.
Le même jour, le FBI a révélé qu’il avait perturbé le botnet KV de Volt Typhoon, que les acteurs de la menace avaient utilisé pour attaquer des infrastructures critiques aux États-Unis.
En février, Volt Typhoon a exploité une vulnérabilité d’exécution de code à distance dans FortiOS SSL VPN pour installer des logiciels malveillants personnalisés, avec plus de 20 000 appareils Fortinet touchés par les attaques.