近日發現的 Versa Director 軟體零日漏洞正被疑似中國國家支援的駭客積極利用,可能危及美國主要網際網路服務提供商(ISP)和託管服務提供商(MSP)的安全。
漏洞詳情
這個被標識為 CVE-2024-39717 的關鍵漏洞影響了 22.1.4 版本之前的所有 Versa Director 版本。Versa Director 是 ISP 和 MSP 用於管理軟體定義廣域網(SD-WAN)網路配置的關鍵元件。
攻擊情況
Lumen 公司的 Black Lotus Labs 安全研究人員觀察到,該漏洞至少從2024年6月12日起就開始被利用。攻擊者被認為是屬於 Volt Typhoon 和 Bronze Silhouette 駭客組織的成員,他們使用一種名為 VersaMem 的複雜定製 Web shell 向 Versa Director 伺服器注入惡意程式碼。
網路攻擊中涉及的複雜資料視覺化,展示了駭客利用漏洞的複雜策略 |
影響範圍
目前,攻擊已針對美國境內四個受害者和一個非美國受害者,主要集中在 ISP、MSP 和 IT 行業。潛在影響非常嚴重,被攻破的 Versa Director 伺服器可能允許攻擊者:
- 竊取明文憑證
- 可能危及下游客戶基礎設施
- 直接向伺服器記憶體注入額外的惡意程式碼
- 透過複雜的技術逃避檢測
建議措施
強烈建議使用 Versa Director 的組織:
- 立即升級到 22.1.4 或更高版本
- 監控 4566 埠的可疑活動
- 在 Versa 網站根目錄中搜索未經授權的 .png 檔案
- 稽核使用者賬戶並檢查系統日誌
- 如果懷疑遭到入侵,請輪換憑證
更廣泛的影響
這次攻擊凸顯了漏洞研究和產品安全測試的關鍵重要性,特別是對於用於管理關鍵基礎設施的軟體。疑似中國國家支援的參與者的介入為這一威脅增加了地緣政治維度,可能影響國家安全。
正如 SonicWall 威脅研究執行總監 Douglas McKee 所指出的:"這次攻擊強調了未被發現、因此未被修補的漏洞如何被複雜的威脅行為者利用來滲透和破壞關鍵基礎設施。"
這一事件再次提醒我們,管理關鍵網路服務的組織面臨持續的網路安全挑戰,以及透過針對關鍵基礎設施元件的定向攻擊可能造成的廣泛破壞。