- 13,852
- 20
- 8 Ноя 2022
Уязвимость нулевого дня Versa Director открывает Китаю двери в системы США и Индии.
Китайская хакерская группа Volt Typhoon совершила серию атак, используя 0Day в системе управления Versa Director — платформе, которую интернет-провайдеры используют для управления виртуальными сетями.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 7.2) позволяет загружать вредоносные файлы, замаскированные под PNG-изображения, чтобы получить доступ к корпоративным сетям. Ошибка Для просмотра ссылки Войди или Зарегистрируйся версии 21.2.3, 22.1.2 и 22.1.3. Обновление до версии 22.1.4 устраняет проблему, и Versa рекомендует администраторам следовать рекомендациям по защите системы. Кроме того, Для просмотра ссылки Войди или Зарегистрируйся в свой каталог KEV.
Исследователи из Black Lotus Labs Для просмотра ссылки Войдиили Зарегистрируйся ошибку в июне после того, как нашли вредоносный файл, Для просмотра ссылки Войди или Зарегистрируйся на VirusTotal. Злоумышленники использовали недостаток для установки веб-оболочки VersaMem, которая пока не обнаружена антивирусами. Анализ показал, что с 12 июня веб-оболочка активно использовалась для взлома SOHO-маршрутизаторов и установки вредоносного ПО.
Цепочка атаки Volt Typhoon
Хотя для использования уязвимости требуются права администратора, хакеры получили их через открытый порт Versa Director, используемый для обеспечения высокой доступности ( High Availability , HA) узлов. Атакующие создали учётную запись с высокими привилегиями, внедрили вредоносную веб-оболочку, которая затем использовалась для кражи учетных данных пользователей.
Versa подтвердила, что уязвимость могла быть использована для кражи учетных данных, если порт HA не был защищен в соответствии с Для просмотра ссылки Войдиили Зарегистрируйся компании. Компания также объяснила, что порт открыт по умолчанию для обеспечения функции высокой доступности.
По данным Black Lotus Labs, пострадали как минимум 4 организации в США и 1 в Индии. Злоумышленники смогли получить доступ к внутренним сетям одной из компаний. Специалисты приписали атаки группе Volt Typhoon, которая известна атаками на маршрутизаторы и VPN-устройства для получения скрытного доступа к целевым сетям. Ранее группа использовала аналогичные методы для создания ботнета и атак на критическую инфраструктуру.
Китайская хакерская группа Volt Typhoon совершила серию атак, используя 0Day в системе управления Versa Director — платформе, которую интернет-провайдеры используют для управления виртуальными сетями.
Уязвимость Для просмотра ссылки Войди
Исследователи из Black Lotus Labs Для просмотра ссылки Войди
Цепочка атаки Volt Typhoon
Хотя для использования уязвимости требуются права администратора, хакеры получили их через открытый порт Versa Director, используемый для обеспечения высокой доступности ( High Availability , HA) узлов. Атакующие создали учётную запись с высокими привилегиями, внедрили вредоносную веб-оболочку, которая затем использовалась для кражи учетных данных пользователей.
Versa подтвердила, что уязвимость могла быть использована для кражи учетных данных, если порт HA не был защищен в соответствии с Для просмотра ссылки Войди
По данным Black Lotus Labs, пострадали как минимум 4 организации в США и 1 в Индии. Злоумышленники смогли получить доступ к внутренним сетям одной из компаний. Специалисты приписали атаки группе Volt Typhoon, которая известна атаками на маршрутизаторы и VPN-устройства для получения скрытного доступа к целевым сетям. Ранее группа использовала аналогичные методы для создания ботнета и атак на критическую инфраструктуру.
- Источник новости
- www.securitylab.ru
