Kerentanan hari sifar yang baru ditemui dalam perisian Versa Director sedang dieksploitasi secara aktif oleh penggodam yang disyaki ditaja oleh negara China, berpotensi menjejaskan pembekal perkhidmatan internet (ISP) dan pembekal perkhidmatan terurus (MSP) utama di Amerika Syarikat.
Kerentanan
Kelemahan kritikal ini, dikenali sebagai CVE-2024-39717, menjejaskan semua versi Versa Director sebelum 22.1.4. Versa Director adalah komponen utama yang digunakan oleh ISP dan MSP untuk menguruskan konfigurasi rangkaian untuk rangkaian kawasan luas yang ditakrifkan perisian (SD-WAN).
Serangan
Penyelidik keselamatan di Black Lotus Labs Lumen telah memerhati kerentanan ini dieksploitasi sejak sekurang-kurangnya 12 Jun 2024. Penyerang, yang dipercayai sebahagian daripada kumpulan penggodam yang dikenali sebagai Volt Typhoon dan Bronze Silhouette, menggunakan shell web tersuai canggih yang dipanggil VersaMem untuk menyuntik kod berniat jahat ke dalam pelayan Versa Director.
Visualisasi data kompleks yang terlibat dalam serangan siber, mewakili taktik canggih yang digunakan oleh penggodam untuk mengeksploitasi kelemahan |
Impak dan Skop
Setakat ini, serangan tersebut telah mensasarkan empat mangsa di AS dan satu mangsa bukan AS, terutamanya dalam sektor ISP, MSP, dan IT. Potensi impaknya adalah teruk, kerana pelayan Versa Director yang dikompromi boleh membenarkan penyerang untuk:
- Mencuri kelayakan dalam bentuk teks biasa
- Berpotensi menjejaskan infrastruktur pelanggan hiliran
- Menyuntik kod berniat jahat tambahan terus ke dalam memori pelayan
- Mengelak pengesanan melalui teknik canggih
Cadangan
Organisasi yang menggunakan Versa Director sangat disarankan untuk:
- Menaik taraf kepada versi 22.1.4 atau lebih baharu dengan segera
- Memantau aktiviti mencurigakan pada port 4566
- Mencari fail .png yang tidak dibenarkan dalam direktori webroot Versa
- Mengaudit akaun pengguna dan menyemak log sistem
- Menukar kelayakan jika disyaki berlaku kompromi
Implikasi Lebih Luas
Serangan ini menekankan kepentingan kritikal penyelidikan kerentanan dan ujian keselamatan produk, terutamanya untuk perisian yang digunakan dalam pengurusan infrastruktur kritikal. Penglibatan aktor yang disyaki ditaja oleh negara China menambah dimensi geopolitik kepada ancaman ini, berpotensi memberi kesan kepada keselamatan negara.
Seperti yang dinyatakan oleh Douglas McKee, Pengarah Eksekutif Penyelidikan Ancaman di SonicWall: Serangan ini menunjukkan bagaimana kerentanan yang belum ditemui dan oleh itu belum ditampal boleh digunakan oleh aktor ancaman canggih untuk menyusup dan menjejaskan infrastruktur kritikal.
Insiden ini menjadi peringatan keras tentang cabaran keselamatan siber berterusan yang dihadapi oleh organisasi yang menguruskan perkhidmatan rangkaian penting dan potensi gangguan meluas melalui serangan yang disasarkan pada komponen infrastruktur utama.