Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティ事業を営むBlack Lotus Labsの研究者は(注1)、2024年8月27日(現地時間、以下同)にブログで、国家に関連する攻撃者「Volt Typhoon」がインターネットサービスプロバイダー(ISP)やマネージドサービスプロバイダー(MSP)、その他の技術企業を標的としたキャンペーンで、ネットワーク管理製品「Versa Director」のサーバのゼロデイ脆弱(ぜいじゃく)性を悪用していると警告した。
「CVE-2024-39717」としてリストに掲載されているこの脆弱性は(注2)、悪意のあるファイルのアップロードを攻撃者に許可し、高度な権限を与えるものだ。
Black Lotus Labsの研究者は、「VersaMem」と呼ばれるカスタムWebシェルを特定した。このWebシェルは認証情報を傍受および収集し、攻撃者が認証ユーザーとして下流のコンピュータネットワークにアクセスできるように設計されている。
Volt Typhoonは、最近米国が直面している脅威の中で最も注目されている勢力の一つである。2024年1月、連邦捜査局(FBI)とその他の連邦当局は(注3)、この中国に関連する攻撃者が、アジア太平洋地域で軍事的な動きがエスカレートした場合に備えて、(電力やガス、鉄道、空港などの)重要インフラプロバイダーに侵入し、陽動攻撃を開始しようとしていると警告した。
Black Lotus Labsの研究者は、ISPやMSP、IT企業を含む5つのターゲット(そのうちの4つは米国内)で、ゼロデイ脆弱性の悪用に成功した複数の攻撃者が制御する小規模オフィスおよびホームオフィス用のデバイスを特定した。
Black Lotus Labsのマイケル・ホルカ氏(シニアリード・インフォメーションセキュリティリサーチャー)は、次のように述べた。
「このマルウェアは攻撃者に管理者レベルの権限を与え、大半の情報をロードできるようにする。攻撃者の目的は、受動的な状態を維持したままデータを盗むことだった」
ホルカ氏によると、攻撃者はデータの改ざんなどの他の行為に及んだ可能性がある。しかし、それらの行為は隠すのが難しかっただろうとのことだ。
サイバーセキュリティ事業を営むVersa Networksは、この脆弱性に対するパッチをリリースし(注4)、顧客と協力してアップデートを適用し、システムを強化するためのガイドラインを実施するよう働きかけている。同社のCMO(最高マーケティング責任者)のダン・マイアー氏によると、同社は、ISP1社とMSP2社を含む3社が侵害されたことを認識しているという。
セキュリティ評価サービスを提供するCensysのセキュリティ研究者であるヒマジャ・モザラム氏によると、アプリケーションを実行している164のパブリックホストのうち、全体の約15%に当たる約25のホストが管理ポートを公開しているという(注5)。これらの組織の多くは通信企業もしくはISPであり、本キャンペーンが標的としている種類の企業だ。
Black Lotus Labsは調査結果を米国当局に報告した。アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)は2024年8月24日に、各組織に対し、必要な全てのアップデートを適用し(注6)、悪質な活動がないかチェックし、確認された結果を報告するよう促した。
CISAは同脆弱性を脆弱性カタログに追加した。
(注1)Taking the Crossroads: The Versa Director Zero-Day Exploitation(LUMEN)
(注2)CVE-2024-39717 Detail(NIST)
(注3)CISA, FBI confirm critical infrastructure intrusions by China-linked hackers(Cybersecurity Dive)
(注4)Versa Security Bulletin: Update on CVE-2024-39717 Versa Director Dangerous File Type Upload Vulnerability (Versa Blog)
(注5)August 27, 2024 Advisory: Versa Director Dangerous File Type Upload Vulnerability [CVE-2024-39717](Censys)
(注6)Versa Networks Releases Advisory for a Vulnerability in Versa Director, CVE-2024-39717(CISA)
© Industry Dive. All rights reserved.