Studiuesit e Black Lotus Labs (Lumen Technologies) kanë zbuluar një sulm kibernetik kundër katër ISP-ve në SHBA (Internet Service Provider). Kriminelët kibernetikë kinezë nga grupi Volt Typhoon (tashmë i njohur për aksesin në infrastrukturën e rrjetit) shfrytëzuan një dobësi në softuerin Versa Director për të instaluar një predhë në internet dhe për të përgjuar kredencialet e klientëve.
Spiunazh kibernetik kinez me exploit zer-day
Versa Director është një platformë virtualizimi që lejon ISP-të të menaxhojnë infrastrukturat e rrjetit nga një panel i vetëm. Dobësia CVE-2024-39717, e bërë publike më 22 gusht (patch-i u publikua më 26 gusht), është shfrytëzuar nga grupi Volt Typhoon që nga 12 qershori për të instaluar VersaMem, një guaskë ueb që lejon vjedhjen e kredencialeve të klientit.
Për shkak të cenueshmërisë, kriminelët kibernetikë kinezë ngarkuan një arkiv JAR (predha në internet) në sistemet Versa Director. Shfrytëzimi i ditës zero lejon që kredencialet të kapen në tekst të qartë, të cilat më pas kopjohen në një drejtori të përkohshme. Qasja fillestare ishte përmes portit 4566, i përdorur nga Versa Director për të kryer “çiftimin e disponueshmërisë së lartë” midis nyjeve.
VersaMem është një predhë modulare në internet, kështu që mund të ngarkojë module të ndryshme sipas nevojës. Ekspertët e Lumenit kanë identifikuar vetëm atë që lejon vjedhjen e letrave kredenciale. Për momentin nuk zbulohet nga asnjë zgjidhje sigurie, pasi nuk lë gjurmë në disk (moduli ngarkohet direkt në memorie).
Dobësia është e pranishme në të gjitha versionet e Versa Director para 22.1.4. ISP-të që përdorin softuerin duhet të instalojnë përditësimin menjëherë dhe të ndjekin rekomandimet e Lumen, duke përfshirë bllokimin e aksesit në distancë në portin 4566.
Discussion about this post