I ricercatori dei Black Lotus Labs (Lumen Technologies) hanno rilevato un attacco informatico contro quattro ISP (Internet Service Provider) degli Stati Uniti. I cybercriminali cinesi del gruppo Volt Typhoon (già noto per gli accessi alle infrastrutture di rete) hanno sfruttato una vulnerabilità del software Versa Director per installare una web shell e intercettare le credenziali dei clienti.
Cyberspionaggio cinese con exploit zer-day
Versa Director è una piattaforma di virtualizzazione che permette agli ISP di gestire le infrastrutture di rete da una singola dashboard. La vulnerabilità CVE-2024-39717, resa pubblica il 22 agosto (la patch è stata rilasciata il 26 agosto), è stata sfruttata dal gruppo Volt Typhoon dal 12 giugno per installare VersaMem, una web shell che consente di rubare le credenziali dei clienti.
A causa della vulnerabilità, i cybercriminali cinesi hanno caricato un archivio JAR (la web shell) sui sistemi Versa Director. L’exploit zero-day consente di catturare le credenziali in chiaro, successivamente copiate in una directory temporanea. L’accesso iniziale è avvenuto attraverso la porta 4566, utilizzata da Versa Director per effettuare il “pairing ad alta disponibilità” tra i nodi.
VersaMem è una web shell modulare, quindi può caricare diversi moduli all’occorrenza. Gli esperti di Lumen ha individuato solo quello che consente il furto delle credenziali. Al momento non viene rilevata da nessuna soluzione di sicurezza, in quanto non lascia tracce su disco (il modulo viene caricato direttamente in memoria).
La vulnerabilità è presente in tutte le versioni di Versa Director precedenti alla 22.1.4. Gli ISP che usano il software devono installare subito l’aggiornamento e seguire i consigli di Lumen, tra cui bloccare l’accesso remoto alla porta 4566.