Chinese Volt Typhoon maakt misbruik van Versa-directeursfout, richt zich op Amerikaanse en wereldwijde IT-sectoren

De cyber-espionagegroep die wordt gevolgd als Volt-tyfoon wordt met redelijke zekerheid toegeschreven aan de zero-day-exploitatie van een onlangs bekendgemaakte, zeer ernstige beveiligingsfout die gevolgen had voor Versa Director.

De aanvallen waren gericht op vier Amerikaanse slachtoffers en één niet-Amerikaans slachtoffer in de sectoren internet service provider (ISP), managed service provider (MSP) en informatietechnologie (IT) al op 12 juni 2024, aldus het Black Lotus Labs-team bij Lumen Technologies in een technisch rapport dat werd gedeeld met The Hacker News. Er wordt aangenomen dat de campagne doorgaat tegen ongepatchte Versa Director-systemen.

Het beveiligingslek in kwestie is CVE-2024-39717 (CVSS-score: 6,6), een bug bij het uploaden van bestanden die Versa Director treft en vorige week door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is toegevoegd aan de catalogus met bekende misbruikte kwetsbaarheden (KEV).

“Dankzij deze kwetsbaarheid konden mogelijk schadelijke bestanden worden geüpload door gebruikers met Provider-Data-Center-Admin- of Provider-Data-Center-System-Admin-rechten”, aldus Versa in een maandag gepubliceerd advies. Hierin werd gesteld dat getroffen klanten de richtlijnen voor systeembeveiliging en firewall die respectievelijk in 2015 en 2017 zijn uitgegeven, niet hebben geïmplementeerd.

Het lek stelt dreigingsactoren met beheerdersrechten in staat om schadelijke bestanden te uploaden die gecamoufleerd zijn als PNG-afbeeldingsbestanden door gebruik te maken van de optie “Change Favicon” in de Versa Director GUI. Het is aangepakt in versies 22.1.4 of later.

Dat Volt Typhoon zich richt op Versa Networks, een leverancier van SASE (Secure Access Service Edge), is niet verrassend en past bij de eerdere pogingen van de aanvaller om gecompromitteerde SOHO-netwerkapparatuur (Small Office and Home Office) te exploiteren om netwerkverkeer te routeren en detectie voor langere tijd te omzeilen.

Tot de klanten van het in Santa Clara gevestigde bedrijf behoren onder meer Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile en Verizon.

“Een deel van de toeschrijving (aan Volt Typhoon) is gebaseerd op het gebruik van SOHO-apparaten en de manier waarop deze werden ingezet”, vertelde Ryan English, beveiligingsonderzoeker bij Black Lotus Labs van Lumen, aan The Hacker News.

“Maar er was ook sprake van een combinatie van bekende en waargenomen TTP’s, waaronder netwerkinfrastructuur, zero-day-exploitatie, strategische targeting van specifieke sectoren/slachtoffers, web shell-analyse en andere bevestigde overlappingen van kwaadaardige activiteiten.”

De aanvalsketens worden gekenmerkt door het uitbuiten van het lek om een ​​op maat gemaakte webshell te leveren met de naam VersaMem (“VersaTest.png”). Deze shell is vooral ontworpen om inloggegevens te onderscheppen en te verzamelen waarmee gebruikers als geauthenticeerde gebruiker toegang kunnen krijgen tot de netwerken van downstream-klanten, wat resulteert in een grootschalige aanval op de toeleveringsketen.

Een ander opvallend kenmerk van de geavanceerde JAR-webshell is dat deze modulair van aard is en operators in staat stelt extra Java-code te laden die uitsluitend in het geheugen wordt uitgevoerd.

Het eerste voorbeeld van VersaMem werd op 7 juni 2024 vanuit Singapore geüpload naar VirusTotal. Op 27 augustus 2024 had geen van de anti-malware engines de webshell als kwaadaardig gemarkeerd. Er wordt aangenomen dat de dreigingsactoren de webshell in het wild hebben getest op slachtoffers buiten de VS voordat ze deze op Amerikaanse doelen hebben geïmplementeerd.

De webshell “maakt gebruik van Java-instrumentatie en Javassist om schadelijke code te injecteren in het geheugen van het Tomcat-webserverproces op geëxploiteerde Versa Director-servers”, zo leggen de onderzoekers uit.

“Nadat de web shell-code is geïnjecteerd, wordt de authenticatiefunctionaliteit van Versa aangekoppeld, waardoor de aanvaller passief inloggegevens in platte tekst kan onderscheppen. Dit kan mogelijk leiden tot inbreuken op de clientinfrastructuur via legitiem gebruik van inloggegevens.”

“Bovendien maakt de webshell gebruik van de aanvraagfilterfunctie van Tomcat, waardoor de kwaadwillende partij willekeurige Java-code in het geheugen op de gecompromitteerde server kan uitvoeren, terwijl op bestanden gebaseerde detectiemethoden worden omzeild en de webshell, de modules en de zero-day zelf worden beschermd.”

Om de dreiging van de aanvalscluster tegen te gaan, wordt geadviseerd de nodige maatregelen te nemen, externe toegang tot poorten 4566 en 4570 te blokkeren, recursief te zoeken naar PNG-afbeeldingsbestanden en te scannen op mogelijk netwerkverkeer afkomstig van SOHO-apparaten naar poort 4566 op Versa Director-servers.

Volt Typhoon, ook wel bekend als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda en Voltzite, is een geavanceerde, aanhoudende bedreiging waarvan bekend is dat deze al minstens vijf jaar actief is. De bedreiging is gericht op kritieke infrastructuurfaciliteiten in de VS en Guam, met als doel heimelijke toegang te verkrijgen en gevoelige gegevens te exfiltreren.

“Dit is een zaak die laat zien hoe Volt Typhoon geduldig en indirect probeert toegang te krijgen tot hun ultieme slachtoffers,” zei English. “Hier hebben ze het Versa Director-systeem als doelwit gekozen om een ​​strategisch kruispunt van informatie aan te vallen waar ze inloggegevens en toegang konden verzamelen, en vervolgens de keten af ​​konden gaan naar hun ultieme slachtoffer.”

“De ontwikkeling van Volt Typhoon in de loop der tijd laat zien dat een onderneming misschien niet het gevoel heeft dat ze de aandacht trekt van een zeer kundige nationale actor, maar dat de klanten voor wie een product bedoeld is, de echte doelgroep kunnen zijn en dat baart ons allemaal zorgen.”

Thijs Van der Does