Les attaques se poursuivent depuis juin
Pourquoi c'est important : Une vulnérabilité zero-day affectant les FAI et les MSP est une préoccupation majeure, car elle pourrait facilement avoir un impact sur les infrastructures critiques et la sécurité nationale si elle était exploitée à plus grande échelle. De plus, l’implication présumée de groupes de pirates informatiques parrainés par l’État chinois, comme Volt Typhoon et Bronze Silhouette, rend cette vulnérabilité particulièrement alarmante. Le risque de perturbation généralisée souligne à quel point nos services essentiels sont vulnérables aux cyberattaques.
Black Lotus Labs a découvert une vulnérabilité zero-day dans les serveurs Versa Director, une plateforme de virtualisation largement utilisée par les FAI et les fournisseurs de services gérés. Cette vulnérabilité, potentiellement liée à des groupes de hackers parrainés par l'État chinois, représente un risque important pour ces organisations.
Identifiée sous le numéro CVE-2024-39717, cette faille critique a été annoncée publiquement le 22 août 2024 et affecte toutes les versions du logiciel Versa Director antérieures à la version 22.1.4. Cette vulnérabilité est particulièrement préoccupante pour les FAI et les MSP, car ils dépendent des applications SD-WAN (Software-Defined Wide Area Network) de Versa pour gérer les configurations réseau.
La découverte de cette vulnérabilité a suscité l'inquiétude en raison de sa capacité à pénétrer les réseaux d'entreprise via les serveurs Versa Director, qui sont responsables des fonctions réseau essentielles. Black Lotus Labs a identifié un shell Web personnalisé, appelé « VersaMem », qui exploite cette faille pour extraire les identifiants de connexion.
Une caractéristique notable de VersaMem est sa modularité, qui lui permet de charger du code Java supplémentaire directement dans la mémoire du serveur, échappant ainsi efficacement à la détection.
Les données de surveillance mondiales de Black Lotus Labs révèlent que la vulnérabilité a été exploitée via des appareils de petites entreprises/bureaux à domicile compromis dans des attaques ciblant quatre victimes aux États-Unis et une à l'étranger. Ces attaques, qui touchent principalement les secteurs des FAI, des MSP et de l'informatique, sont en cours depuis le 12 juin 2024.
Les attaquants obtiennent initialement l’accès en exploitant un port de gestion exposé sur le Versa Director, conçu pour connecter les nœuds Director pour une haute disponibilité, qu’ils utilisent ensuite pour déployer le shell Web VersaMem.
Black Lotus Labs soupçonne que des groupes de hackers sponsorisés par l'État chinois, connus sous le nom de Volt Typhoon et Bronze Silhouette, orchestrent l'exploitation de cette vulnérabilité. Leur analyse indique que Volt Typhoon cible activement les systèmes Versa Director non corrigés.
La campagne d’exploitation est considérée comme très importante par Black Lotus Labs en raison de la gravité de la vulnérabilité, de la sophistication des acteurs de la menace et du rôle critique des serveurs Versa Director dans les opérations réseau.
Il est fortement conseillé aux organisations qui utilisent Versa Director de procéder à une mise à niveau vers la version 22.1.4 ou une version ultérieure. En outre, elles doivent consulter les avis de sécurité émis par Versa Networks le 26 juillet 2024 et le 8 août 2024.
La gravité de cette vulnérabilité et les conséquences potentielles des systèmes Versa Director compromis ont conduit Black Lotus Labs à publier publiquement ces informations.
Lumen Technologies a également partagé ces renseignements critiques sur les menaces avec les agences gouvernementales américaines concernées pour les alerter des risques potentiels pour les actifs stratégiques nationaux.