El grupo de ciberespionaje con nexo con China, conocido como Volt Typhoon, ha sido atribuido con moderada confianza a la explotación de día cero de una falla de seguridad de alta gravedad recientemente revelada que afecta a Versa Director. Los ataques apuntaron a cuatro víctimas estadounidenses y una víctima no estadounidense en los sectores de proveedores de servicios de Internet (ISP), proveedores de servicios administrados (MSP) y tecnología de la información (TI) a partir del 12 de junio de 2024, dijo el equipo de Black Lotus Labs en Lumen Technologies en un informe técnico compartido con The Hacker News. Se cree que la campaña está en curso contra los sistemas Versa Director sin parches. La falla de seguridad en cuestión es CVE-2024-39717 (puntuación CVSS: 6.6), un error de carga de archivos que afecta a Versa Director y que fue agregado al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) la semana pasada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). «Esta vulnerabilidad permitió que los usuarios con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin cargaran archivos potencialmente maliciosos», dijo Versa en un aviso publicado el lunes, indicando que los clientes afectados no implementaron las pautas de fortalecimiento del sistema y firewall emitidas en 2015 y 2017, respectivamente. La falla esencialmente permite a los actores de amenazas con privilegios de administrador cargar archivos maliciosos camuflados como archivos de imagen PNG aprovechando la opción «Cambiar favicon» en la GUI de Versa Director. Se ha solucionado en las versiones 22.1.4 o posteriores. El hecho de que Volt Typhoon haya atacado a Versa Networks, un proveedor de servicios de acceso seguro (SASE), no es sorprendente y está en línea con la explotación histórica del adversario de equipos de red de pequeñas oficinas y oficinas domésticas (SOHO) comprometidos para enrutar el tráfico de la red y evadir la detección durante períodos prolongados de tiempo. La empresa con sede en Santa Clara cuenta entre sus clientes a Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile y Verizon. «Parte de la atribución [to Volt Typhoon] «El ataque se basa en el uso de dispositivos SOHO y la forma en que se emplearon», dijo a The Hacker News Ryan English, investigador de seguridad de Black Lotus Labs de Lumen. «Pero también hubo una combinación de TTP conocidos y observados, incluida la infraestructura de red, la explotación de día cero, la selección estratégica de sectores/víctimas específicos, el análisis de shell web y otras superposiciones confirmadas de actividad maliciosa». Las cadenas de ataque se caracterizan por la explotación de la falla para entregar un shell web personalizado denominado VersaMem («VersaTest.png») que está diseñado principalmente para interceptar y recopilar credenciales que permitirían el acceso a las redes de los clientes posteriores como un usuario autenticado, lo que resulta en un ataque a gran escala a la cadena de suministro. Otro rasgo notable del sofisticado shell web JAR es que es de naturaleza modular y permite a los operadores cargar código Java adicional para ejecutarlo exclusivamente en la memoria. La primera muestra de VersaMem se cargó en VirusTotal desde Singapur el 7 de junio de 2024. A partir del 27 de agosto de 2024, ninguno de los Los motores anti-malware han marcado el shell web como malicioso. Se cree que los actores de amenazas pueden haber estado probando el shell web en la naturaleza en víctimas no estadounidenses antes de implementarlo en objetivos estadounidenses. El shell web «aprovecha la instrumentación Java y Javassist para inyectar código malicioso en el espacio de memoria del proceso del servidor web Tomcat en los servidores Versa Director explotados», explicaron los investigadores. «Una vez inyectado, el código del shell web se engancha a la funcionalidad de autenticación de Versa, lo que permite al atacante interceptar pasivamente las credenciales en texto sin formato, lo que potencialmente permite comprometer la infraestructura del cliente a través del uso legítimo de credenciales». «Además, el shell web se engancha a la funcionalidad de filtrado de solicitudes de Tomcat, lo que permite al actor de amenazas ejecutar código Java arbitrario en la memoria del servidor comprometido mientras evita los métodos de detección basados ​​en archivos y protege su shell web, sus módulos y el día cero en sí». Para contrarrestar la amenaza que representa el grupo de ataques, se recomienda aplicar las mitigaciones necesarias, bloquear el acceso externo a los puertos 4566 y 4570, buscar recursivamente archivos de imagen PNG y escanear en busca de posible tráfico de red originado desde dispositivos SOHO al puerto 4566 en los servidores de Versa Director. Volt Typhoon, que también se rastrea como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda y Voltzite, es una amenaza persistente avanzada que se sabe que está activa durante al menos cinco años, apuntando a instalaciones de infraestructura crítica en los EE. UU. y Guam con el objetivo de mantener un acceso sigiloso y exfiltrar datos confidenciales. «Este es un caso que muestra cómo Volt Typhoon continúa tratando de obtener acceso a sus víctimas finales de manera paciente e indirecta», dijo English. «Aquí han apuntado al sistema Versa Director como un medio para atacar una encrucijada estratégica de información donde podrían recopilar credenciales y acceso, y luego avanzar por la cadena hasta su víctima final». «La evolución del Volt Typhoon a lo largo del tiempo nos muestra que, si bien una empresa puede no sentir que va a atraer la atención de un actor de un estado nacional altamente capacitado, los clientes a los que se supone que sirve un producto pueden ser el verdadero objetivo y eso nos preocupa a todos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.