Versa Director のゼロデイ CVE-2024-39717：中国 APT の Volt Typhoon による悪用を確認

Chinese APT Volt Typhoon Caught Exploiting Versa Networks SD-WAN Zero-Day

2024/08/26 SecurityWeek — 中国の APT である Volt Typhoon が、Versa Director サーバのゼロデイ脆弱性 CVE-2024-39717 を悪用し、クレデンシャルを乗っ取ってダウン・ストリームの顧客ネットワークに侵入していることが、Lumen Technologies の研究者たちにより明らかにされた。Versa Networks は、この脆弱性のゼロデイ悪用を確認し、Versa Director GUI のハッキングにより、影響を受けるデバイスにマルウェアを仕込むことが可能だと警告している。この脆弱性 CVE-2024-39717 は、8月23日の時点で、CISA の KEV カタログに登録されている。

Versa Director サーバは、SD-WAN ソフトウェアを実行するクライアントの、ネットワーク・コンフィグレーションを管理するために使用され、また、ISP／MSP において多用されている。そのため、企業のネットワーク管理内に手を広げようとする攻撃者にとって、魅力的なターゲットとなっている。

Versa Networks のセキュリティ・アドバイザリには、「我々は、2015年と2017年に発表されたファイアウォール・ガイドラインが実装されていなかったことに起因する、この脆弱性の悪用の報告を１件受けている。この非実装の結果として攻撃者は、GUI を使用せずに脆弱性 CVE-2024-39717を悪用できた」と記されている。このアドバイザリを読む限り、ミスコンフィグの責任を、被害組織に転嫁しているように見える。

さらに同社は、「我々のテストは、主要ブラウザの全バージョンをテストしているわけではなく、したがって網羅的な確認は行われていないが、クライアント上で悪意のファイルは実行されない。サードパーティ・プロバイダのバックボーン・テレメトリ観測に基づく、その他の報告もあるようだが、現時点では未確認である」と述べている。

SecurityWeek の情報源によると、Lumen Technologies の Black Lotus Labs チームは、Versa Director 22.1.4 未満のバージョンに対する、アクティブな攻撃で悪用される脆弱性を発見したという。

この研究チームは、ゼロデイに関連する、独自のカスタマイズされた Web シェルを発見した。この Web シェルは、認証されたユーザーとして下流の顧客のネットワークにアクセスするための、資格情報を傍受して収集するために使用されている。

Black Lotus Labs は、既知の戦術と観察された技術に基づき、米国内の何百もの重要なインフラを標的とした、一連の攻撃で摘発された中国 APT の Volt Typhoon と、今回のゼロデイを悪用した攻撃を関連付けている。同社は、この脆弱性の悪用は Volt Typhoon に限られており、パッチが適用されていない Versa Director システムに対して、攻撃が進行中である可能性が高いと捉えている。

研究者たちは、遅くとも 2024年6月12日にさかのぼるエクスプロイトを特定し、この Volt Typhoon キャンペーンが高度な標的化の状態を維持し、米国の ISP／MSP／IT セクターにおける、複数のユーザーに被害を及ぼしていると警告している。

2021年半ばから活動している Volt Typhoon は、通信／製造／ユーティリティ／輸送／建設／海事／政府／情報技術／教育部門などの、多種多様な組織を侵害してきた。

Black Lotus Lab が、ネットワーク・デバイスから Volt Typhoon の活動を検知したのは、今回が初めてのことではない。2023年12月にも、使用済みの Cisco／Netgear／Fortinet のデバイスが詰まった大規模なボットネットが、悪意の操作を行うための秘密のデータ転送ネットワークとして使用されているとして、同社は警鐘を鳴らしていた。

その翌月に、米国政府は、このボットネットを無効化し、乗っ取られたネットワークから中国のハッカーを一掃するために、各組織に対して一層の努力を求めていた。

今週中に Black Lotus Labs のチームは、完全な技術文書を公開し、侵害の兆候を探すのに役立つ IOC(Indicators of Compromise) と、テレメトリ・データを公開する予定だという。

Versa Director のゼロデイ CVE-2024-39717 が悪用され、Web シェルがし仕込まれ、認証されたユーザーとして下流の顧客のネットワークにアクセスし、資格情報の傍受と収集が行われていたとのことです。この脆弱性とミスコンフィグの関連性が不明確ですが、Versa Director は非を認めていないようです。よろしければ、カテゴリ MisConfiguration も、ご利用ください。