Des pirates informatiques malveillants travaillant probablement pour le compte du gouvernement chinois ont exploité une vulnérabilité zero-day de haute gravité qui leur a permis d’infecter au moins quatre FAI basés aux États-Unis avec des logiciels malveillants qui volent les informations d’identification utilisées par les clients en aval, ont déclaré des chercheurs mardi.
La vulnérabilité réside dans Versa Director, une plateforme de virtualisation qui permet aux FAI et aux fournisseurs de services gérés de gérer des infrastructures réseau complexes à partir d’un seul tableau de bord, ont déclaré des chercheurs de Black Lotus Labs, la branche de recherche de l’entreprise de sécurité Lumen. Les attaques, qui ont commencé au plus tard le 12 juin et sont probablement en cours, permettent aux acteurs de la menace d’installer « VersaMem », le nom donné par Lumen à un shell Web personnalisé qui permet de contrôler à distance les systèmes Versa Director.
Obtenir le contrôle administratif de l’infrastructure du FAI
Le contrôle administratif permet à VersaMem de fonctionner avec les privilèges nécessaires pour accrocher les méthodes d’authentification Versa, ce qui signifie que le shell Web peut détourner le flux d’exécution pour lui faire introduire de nouvelles fonctions. L’une des fonctions ajoutées par VersaMem comprend la capture des informations d’identification au moment où un client FAI les saisit et avant qu’elles ne soient hachées cryptographiquement. Une fois en possession des informations d’identification, les acteurs de la menace s’efforcent de compromettre les clients. Black Lotus n’a identifié aucun des FAI, MSP ou clients en aval concernés.
CVE-2024-39717, comme le jour zéro est suivi, est une vulnérabilité de téléchargement de fichiers non nettoyés qui permet l’injection de fichiers Java malveillants qui s’exécutent sur les systèmes Versa avec des privilèges élevés. Versa a corrigé la vulnérabilité lundi après que Lumen l’a signalée en privé plus tôt. Toutes les versions de Versa Director antérieures à la version 22.1.4 sont affectées. Pour passer inaperçu, l’acteur de la menace a mené ses attaques via des routeurs de petites entreprises et de bureaux à domicile compromis.
« Compte tenu de la gravité de la vulnérabilité, de la sophistication des acteurs de la menace, du rôle critique des serveurs Versa Director dans le réseau et des conséquences potentielles d’une compromission réussie, Black Lotus Labs considère que cette campagne d’exploitation est très importante », indique le rapport de mardi.
Dans au moins « quelques cas », a déclaré Black Lotus dans un e-mail, l’acteur malveillant semble avoir obtenu un accès initial aux systèmes Versa Director via le port 4566, que Versa utilise pour fournir ce que l’on appelle un appariement à haute disponibilité entre les nœuds. L’avis de Versa faisait référence à ces exigences de pare-feu publiées pour la première fois en 2015. L’avis indiquait : « Les clients concernés n’ont pas mis en œuvre les directives de renforcement du système et de pare-feu mentionnées ci-dessus, laissant un port de gestion exposé sur Internet qui a fourni aux acteurs de la menace un accès initial. »
Dans le post de mardi, les chercheurs de Black Lotus ont écrit :
Black Lotus Labs a initialement observé un trafic anormal correspondant à l’exploitation possible des serveurs Versa Director de plusieurs victimes américaines entre au moins le 12 juin 2024 et la mi-juillet 2024. D’après l’analyse de la télémétrie globale de Lumen, le port d’accès initial des systèmes Versa Director compromis était probablement le port 4566 qui, selon la documentation Versa, est un port de gestion associé au couplage haute disponibilité (HA) entre les nœuds Versa. Nous avons identifié des appareils SOHO compromis avec des sessions TCP sur le port 4566 qui ont été immédiatement suivies de connexions HTTPS volumineuses sur le port 443 pendant plusieurs heures. Étant donné que le port 4566 est généralement réservé au couplage des nœuds Versa Director et que les nœuds de couplage communiquent généralement avec ce port pendant de longues périodes, il ne devrait y avoir aucune communication légitime vers ce port à partir d’appareils SOHO sur de courtes périodes.
Nous estimons que le court laps de temps du trafic TCP vers le port 4566 immédiatement suivi de sessions modérées à importantes de trafic HTTPS sur le port 443 à partir d’une adresse IP de nœud non Versa (par exemple, un appareil SOHO) est une signature probable d’une exploitation réussie. En effectuant une recherche dans la télémétrie mondiale de Lumen, nous avons identifié quatre victimes américaines et une victime non américaine dans les secteurs des FAI, des MSP et de l’informatique, la première activité d’exploitation ayant eu lieu chez un FAI américain le 12 juin 2024.
Le graphique suivant donne un aperçu de ce que Black Lotus Labs observe en ce qui concerne l’exploitation de CVE-2024-xxxx et l’utilisation du shell Web VersaMem :