ช่องโหว่ Zero-Day ที่สำคัญใน Versa Director ถูกใช้โดยแฮกเกอร์จีน

BigGo Editorial Team
ช่องโหว่ Zero-Day ที่สำคัญใน Versa Director ถูกใช้โดยแฮกเกอร์จีน

ช่องโหว่ zero-day ที่เพิ่งค้นพบใหม่ในซอฟต์แวร์ Versa Director กำลังถูกใช้งานอย่างจริงจังโดยแฮกเกอร์ที่สงสัยว่าได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งอาจส่งผลกระทบต่อผู้ให้บริการอินเทอร์เน็ต (ISPs) และผู้ให้บริการจัดการ (MSPs) รายใหญ่ในสหรัฐอเมริกา

ช่องโหว่

ช่องโหว่ที่สำคัญนี้ ซึ่งระบุเป็น CVE-2024-39717 ส่งผลกระทบต่อ Versa Director ทุกเวอร์ชันก่อน 22.1.4 โดย Versa Director เป็นส่วนประกอบสำคัญที่ใช้โดย ISPs และ MSPs ในการจัดการการกำหนดค่าเครือข่ายสำหรับเครือข่ายบริเวณกว้างที่กำหนดโดยซอฟต์แวร์ (SD-WANs)

การโจมตี

นักวิจัยด้านความปลอดภัยจาก Black Lotus Labs ของ Lumen สังเกตเห็นการใช้ประโยชน์จากช่องโหว่นี้ตั้งแต่วันที่ 12 มิถุนายน 2567 เป็นอย่างน้อย ผู้โจมตีซึ่งเชื่อว่าเป็นส่วนหนึ่งของกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Volt Typhoon และ Bronze Silhouette ใช้ web shell ที่ซับซ้อนเฉพาะที่เรียกว่า VersaMem เพื่อฉีดรหัสที่เป็นอันตรายเข้าไปในเซิร์ฟเวอร์ Versa Director

ภาพแสดงข้อมูลที่ซับซ้อนเกี่ยวกับการโจมตีทางไซเบอร์ แสดงถึงกลยุทธ์อันซับซ้อนที่แฮกเกอร์ใช้เพื่อหาช่องโหว่
ภาพแสดงข้อมูลที่ซับซ้อนเกี่ยวกับการโจมตีทางไซเบอร์ แสดงถึงกลยุทธ์อันซับซ้อนที่แฮกเกอร์ใช้เพื่อหาช่องโหว่

ผลกระทบและขอบเขต

จนถึงขณะนี้ การโจมตีได้เป้าหมายเหยื่อสี่รายในสหรัฐอเมริกาและหนึ่งรายนอกสหรัฐอเมริกา โดยส่วนใหญ่อยู่ในภาคส่วน ISP, MSP และ IT ผลกระทบที่อาจเกิดขึ้นนั้นรุนแรง เนื่องจากเซิร์ฟเวอร์ Versa Director ที่ถูกบุกรุกอาจทำให้ผู้โจมตีสามารถ:

  • ขโมยข้อมูลประจำตัวในรูปแบบข้อความธรรมดา
  • อาจบุกรุกโครงสร้างพื้นฐานของลูกค้าปลายทาง
  • ฉีดรหัสที่เป็นอันตรายเพิ่มเติมเข้าไปในหน่วยความจำของเซิร์ฟเวอร์โดยตรง
  • หลบเลี่ยงการตรวจจับด้วยเทคนิคที่ซับซ้อน

คำแนะนำ

องค์กรที่ใช้ Versa Director ได้รับคำแนะนำอย่างยิ่งให้:

  1. อัปเกรดเป็นเวอร์ชัน 22.1.4 หรือใหม่กว่าทันที
  2. ตรวจสอบกิจกรรมที่น่าสงสัยบนพอร์ต 4566
  3. ค้นหาไฟล์ .png ที่ไม่ได้รับอนุญาตในไดเรกทอรี webroot ของ Versa
  4. ตรวจสอบบัญชีผู้ใช้และตรวจสอบบันทึกระบบ
  5. หมุนเวียนข้อมูลประจำตัวหากสงสัยว่ามีการบุกรุก

ผลกระทบในวงกว้าง

การโจมตีนี้เน้นย้ำถึงความสำคัญอย่างยิ่งของการวิจัยช่องโหว่และการทดสอบความปลอดภัยของผลิตภัณฑ์ โดยเฉพาะอย่างยิ่งสำหรับซอฟต์แวร์ที่ใช้ในการจัดการโครงสร้างพื้นฐานที่สำคัญ การมีส่วนร่วมของผู้กระทำที่สงสัยว่าได้รับการสนับสนุนจากรัฐบาลจีนเพิ่มมิติทางภูมิรัฐศาสตร์ให้กับภัยคุกคาม ซึ่งอาจส่งผลกระทบต่อความมั่นคงของชาติ

ดังที่ Douglas McKee ผู้อำนวยการบริหารฝ่ายวิจัยภัยคุกคามของ SonicWall กล่าวว่า: การโจมตีนี้เน้นย้ำว่าช่องโหว่ที่ยังไม่ถูกค้นพบและยังไม่ได้รับการแก้ไขสามารถถูกใช้ประโยชน์โดยผู้กระทำภัยคุกคามที่ซับซ้อนเพื่อแทรกซึมและบุกรุกโครงสร้างพื้นฐานที่สำคัญได้อย่างไร

เหตุการณ์นี้เป็นการเตือนอย่างชัดเจนถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่องค์กรที่จัดการบริการเครือข่ายที่สำคัญต้องเผชิญอย่างต่อเนื่อง และความเป็นไปได้ที่จะเกิดการหยุดชะงักอย่างกว้างขวางผ่านการโจมตีที่มีเป้าหมายต่อส่วนประกอบโครงสร้างพื้นฐานที่สำคัญ