ช่องโหว่ zero-day ที่เพิ่งค้นพบใหม่ในซอฟต์แวร์ Versa Director กำลังถูกใช้งานอย่างจริงจังโดยแฮกเกอร์ที่สงสัยว่าได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งอาจส่งผลกระทบต่อผู้ให้บริการอินเทอร์เน็ต (ISPs) และผู้ให้บริการจัดการ (MSPs) รายใหญ่ในสหรัฐอเมริกา
ช่องโหว่
ช่องโหว่ที่สำคัญนี้ ซึ่งระบุเป็น CVE-2024-39717 ส่งผลกระทบต่อ Versa Director ทุกเวอร์ชันก่อน 22.1.4 โดย Versa Director เป็นส่วนประกอบสำคัญที่ใช้โดย ISPs และ MSPs ในการจัดการการกำหนดค่าเครือข่ายสำหรับเครือข่ายบริเวณกว้างที่กำหนดโดยซอฟต์แวร์ (SD-WANs)
การโจมตี
นักวิจัยด้านความปลอดภัยจาก Black Lotus Labs ของ Lumen สังเกตเห็นการใช้ประโยชน์จากช่องโหว่นี้ตั้งแต่วันที่ 12 มิถุนายน 2567 เป็นอย่างน้อย ผู้โจมตีซึ่งเชื่อว่าเป็นส่วนหนึ่งของกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Volt Typhoon และ Bronze Silhouette ใช้ web shell ที่ซับซ้อนเฉพาะที่เรียกว่า VersaMem เพื่อฉีดรหัสที่เป็นอันตรายเข้าไปในเซิร์ฟเวอร์ Versa Director
ภาพแสดงข้อมูลที่ซับซ้อนเกี่ยวกับการโจมตีทางไซเบอร์ แสดงถึงกลยุทธ์อันซับซ้อนที่แฮกเกอร์ใช้เพื่อหาช่องโหว่ |
ผลกระทบและขอบเขต
จนถึงขณะนี้ การโจมตีได้เป้าหมายเหยื่อสี่รายในสหรัฐอเมริกาและหนึ่งรายนอกสหรัฐอเมริกา โดยส่วนใหญ่อยู่ในภาคส่วน ISP, MSP และ IT ผลกระทบที่อาจเกิดขึ้นนั้นรุนแรง เนื่องจากเซิร์ฟเวอร์ Versa Director ที่ถูกบุกรุกอาจทำให้ผู้โจมตีสามารถ:
- ขโมยข้อมูลประจำตัวในรูปแบบข้อความธรรมดา
- อาจบุกรุกโครงสร้างพื้นฐานของลูกค้าปลายทาง
- ฉีดรหัสที่เป็นอันตรายเพิ่มเติมเข้าไปในหน่วยความจำของเซิร์ฟเวอร์โดยตรง
- หลบเลี่ยงการตรวจจับด้วยเทคนิคที่ซับซ้อน
คำแนะนำ
องค์กรที่ใช้ Versa Director ได้รับคำแนะนำอย่างยิ่งให้:
- อัปเกรดเป็นเวอร์ชัน 22.1.4 หรือใหม่กว่าทันที
- ตรวจสอบกิจกรรมที่น่าสงสัยบนพอร์ต 4566
- ค้นหาไฟล์ .png ที่ไม่ได้รับอนุญาตในไดเรกทอรี webroot ของ Versa
- ตรวจสอบบัญชีผู้ใช้และตรวจสอบบันทึกระบบ
- หมุนเวียนข้อมูลประจำตัวหากสงสัยว่ามีการบุกรุก
ผลกระทบในวงกว้าง
การโจมตีนี้เน้นย้ำถึงความสำคัญอย่างยิ่งของการวิจัยช่องโหว่และการทดสอบความปลอดภัยของผลิตภัณฑ์ โดยเฉพาะอย่างยิ่งสำหรับซอฟต์แวร์ที่ใช้ในการจัดการโครงสร้างพื้นฐานที่สำคัญ การมีส่วนร่วมของผู้กระทำที่สงสัยว่าได้รับการสนับสนุนจากรัฐบาลจีนเพิ่มมิติทางภูมิรัฐศาสตร์ให้กับภัยคุกคาม ซึ่งอาจส่งผลกระทบต่อความมั่นคงของชาติ
ดังที่ Douglas McKee ผู้อำนวยการบริหารฝ่ายวิจัยภัยคุกคามของ SonicWall กล่าวว่า: การโจมตีนี้เน้นย้ำว่าช่องโหว่ที่ยังไม่ถูกค้นพบและยังไม่ได้รับการแก้ไขสามารถถูกใช้ประโยชน์โดยผู้กระทำภัยคุกคามที่ซับซ้อนเพื่อแทรกซึมและบุกรุกโครงสร้างพื้นฐานที่สำคัญได้อย่างไร
เหตุการณ์นี้เป็นการเตือนอย่างชัดเจนถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่องค์กรที่จัดการบริการเครือข่ายที่สำคัญต้องเผชิญอย่างต่อเนื่อง และความเป็นไปได้ที่จะเกิดการหยุดชะงักอย่างกว้างขวางผ่านการโจมตีที่มีเป้าหมายต่อส่วนประกอบโครงสร้างพื้นฐานที่สำคัญ