TẦM QUAN TRỌNG: Một lỗ hổng Zero-day ảnh hưởng đến các nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp dịch vụ quản lý (MSP) đang gây ra mối lo ngại nghiêm trọng, vì nếu bị khai thác trên quy mô lớn, nó có thể tác động đến cơ sở hạ tầng thiết yếu và an ninh quốc gia. Hơn nữa, sự liên quan nghi ngờ của các nhóm hacker có sự hỗ trợ của chính phủ Trung Quốc như Volt Typhoon và Bronze Silhouette làm cho lỗ hổng này càng trở nên đáng lo ngại hơn. Nguy cơ gián đoạn rộng rãi nhấn mạnh sự dễ dàng mà các dịch vụ thiết yếu của chúng ta có thể bị tấn công mạng.
Black Lotus Labs đã phát hiện một lỗ hổng zero-day trong các máy chủ Versa Director, một nền tảng ảo hóa được sử dụng rộng rãi bởi các ISP và MSP.
Lỗ hổng này, có thể liên quan đến các nhóm hacker được nhà nước Trung Quốc tài trợ, tạo ra nguy cơ đáng kể cho những tổ chức này. Được xác định là CVE-2024-39717, lỗ hổng nghiêm trọng này đã được công bố vào ngày 22 tháng 8 năm 2024, và ảnh hưởng đến tất cả các phiên bản phần mềm Versa Director trước phiên bản 22.1.4. Lỗ hổng này đặc biệt đáng lo ngại cho các ISP và MSP, vì họ phụ thuộc vào các ứng dụng mạng diện rộng định nghĩa bằng phần mềm (SD-WAN) của Versa để quản lý cấu hình mạng.
Việc phát hiện lỗ hổng này đã gây ra sự hoang mang do khả năng xâm nhập vào các mạng doanh nghiệp thông qua các máy chủ Versa Director, chịu trách nhiệm cho các chức năng mạng thiết yếu. Black Lotus Labs đã xác định một shell web tùy chỉnh, được gọi là “VersaMem,” lợi dụng lỗ hổng này để trích xuất thông tin đăng nhập.
Một đặc điểm nổi bật của VersaMem là tính mô-đun của nó, cho phép tải mã Java bổ sung trực tiếp vào bộ nhớ của máy chủ, qua đó giúp tránh bị phát hiện.
Dữ liệu giám sát toàn cầu từ Black Lotus Labs cho thấy lỗ hổng đã bị lợi dụng thông qua các thiết bị văn phòng nhỏ/cá nhân bị xâm nhập, nhằm vào bốn nạn nhân tại Hoa Kỳ và một nạn nhân ở nước ngoài. Các cuộc tấn công này chủ yếu ảnh hưởng đến các lĩnh vực nhà cung cấp dịch vụ Internet (ISP), nhà cung cấp dịch vụ quản lý (MSP) và công nghệ thông tin (IT), bắt đầu từ ngày 12 tháng 6 năm 2024.
Kẻ tấn công trước tiên chiếm quyền truy cập bằng cách khai thác một cổng quản lý bị lộ trên Versa Director, được thiết kế để kết nối các nút Director nhằm đảm bảo tính sẵn sàng cao, sau đó họ sử dụng để triển khai shell web VersaMem.
Black Lotus Labs nghi ngờ rằng các nhóm hacker do nhà nước Trung Quốc hỗ trợ, được biết đến với tên gọi Volt Typhoon và Bronze Silhouette, đang tổ chức việc khai thác lỗ hổng này. Phân tích của họ cho thấy Volt Typhoon đang nhắm mục tiêu vào các hệ thống Versa Director chưa được vá lỗi.
Chiến dịch khai thác được coi là rất quan trọng bởi Black Lotus Labs do mức độ nghiêm trọng của lỗ hổng, sự tinh vi của các tác nhân đe dọa và vai trò thiết yếu của các máy chủ Versa Director trong hoạt động mạng.
Các tổ chức sử dụng Versa Director được khuyến nghị mạnh mẽ nâng cấp lên phiên bản 22.1.4 hoặc cao hơn. Họ cũng nên xem xét các thông báo bảo mật mà Versa Networks đã phát hành vào ngày 26 tháng 7 năm 2024 và ngày 8 tháng 8 năm 2024.
Mức độ nghiêm trọng của lỗ hổng này và những hậu quả tiềm tàng từ việc hệ thống Versa Director bị xâm phạm đã khiến Black Lotus Labs phải công khai thông tin này.
Lumen Technologies cũng đã chia sẻ thông tin tình báo về mối đe dọa nghiêm trọng này với các cơ quan chính phủ Mỹ có liên quan để cảnh báo họ về những rủi ro tiềm ẩn đối với các tài sản chiến lược quốc gia.
Theo Techspot