Des hackers infectent des FAI avec un malware qui vole les identifiants des clients

Getty Images

Des hackers malveillants, probablement travaillant pour le compte du gouvernement chinois, ont exploité une vulnérabilité de type zero-day à haute sévérité, permettant d’infecter au moins quatre Fournisseurs d’Accès Internet (FAI) basés aux États-Unis avec un malware conçu pour voler les identifiants de leurs clients, a déclaré mardi des chercheurs.

La vulnérabilité se trouve dans le Versa Director, une plateforme de virtualisation qui permet aux FAI et aux fournisseurs de services gérés de gérer des infrastructures réseau complexes depuis un tableau de bord unique, ont indiqué les chercheurs de Black Lotus Labs, le bras de recherche de la société de sécurité Lumen. Les attaques, qui ont commencé au plus tard le 12 juin et sont probablement toujours en cours, permettent aux acteurs menaçants d’installer « VersaMem », le nom donné par Lumen à un shell web personnalisé qui donne un contrôle administratif à distance sur les systèmes Versa Director.

Obtention du contrôle administratif de l’infrastructure des FAI

Le contrôle administratif permet à VersaMem de fonctionner avec les privilèges nécessaires pour intercepter les méthodes d’authentification de Versa, ce qui signifie que le shell web peut détourner le flux d’exécution pour introduire de nouvelles fonctions. L’une des fonctionnalités ajoutées par VersaMem consiste à capturer les identifiants au moment où un client du FAI les saisit, avant qu’ils ne soient cryptographiquement hachés. Une fois en possession des identifiants, les acteurs menaçants s’efforcent de compromettre les clients. Black Lotus n’a pas identifié les FAI, fournisseurs de services gérés ou clients en aval concernés.

La vulnérabilité CVE-2024-39717, qui est suivie, est une vulnérabilité d’upload de fichiers non assainis qui permet l’injection de fichiers Java malveillants s’exécutant sur les systèmes Versa avec des privilèges élevés. Versa a corrigé la vulnérabilité lundi après que Lumen l’a signalée en privé plus tôt. Toutes les versions de Versa Director antérieures à 22.1.4 sont affectées. Pour ne pas attirer l’attention, l’acteur menaçant a mené ses attaques à travers des routeurs de petits bureaux et de bureau à domicile compromis.

« Étant donné la sévérité de la vulnérabilité, la sophistication des acteurs menaçants, le rôle critique des serveurs Versa Director dans le réseau, et les conséquences potentielles d’une compromission réussie, Black Lotus Labs considère que cette campagne d’exploitation est d’une grande importance », a déclaré le rapport de mardi.

Dans au moins « quelques cas », Black Lotus a mentionné dans un courriel que l’acteur menaçant semblait avoir obtenu un accès initial aux systèmes Versa Director par le port 4566, que Versa utilise pour fournir ce que l’on appelle le pairing haute disponibilité entre les nœuds. L’avis de Versa a fait référence à ces exigences de pare-feu, publiées pour la première fois en 2015. L’avis stipulait : « Les clients impactés n’ont pas mis en œuvre le renforcement de système et les directives de pare-feu mentionnés ci-dessus, laissant un port de gestion exposé sur Internet qui a fourni aux acteurs menaçants un accès initial. »

Dans le post de mardi, les chercheurs de Black Lotus ont écrit :

Black Lotus Labs a initialement observé un trafic anormal correspondant à l’exploitation possible de plusieurs serveurs Versa Director de victimes américaines entre au moins le 12 juin 2024 et la mi-juillet 2024. Sur la base d’une analyse de la télémétrie mondiale de Lumen, le port d’accès initial pour les systèmes Versa Director compromis était probablement le port 4566 qui, selon la documentation de Versa, est un port de gestion associé au pairing haute disponibilité entre les nœuds Versa. Nous avons identifié des dispositifs SOHO compromis avec des sessions TCP sur le port 4566 qui ont été immédiatement suivies par de grandes connexions HTTPS sur le port 443 pendant plusieurs heures. Étant donné que le port 4566 est généralement réservé au pairing des nœuds Versa et que les nœuds de pairing communiquent généralement avec ce port pendant de longues périodes, il ne devrait pas y avoir de communications légitimes sur ce port provenant de dispositifs SOHO sur de courtes périodes.

Nous jugeons que la courte période de trafic TCP vers le port 4566 immédiatement suivie par des sessions modérées à importantes de trafic HTTPS sur le port 443 venant d’une adresse IP non Versa (par exemple, un dispositif SOHO) est une signature probable d’exploitation réussie. En parcourant la télémétrie mondiale de Lumen, nous avons identifié quatre victimes américaines et une victime non américaine dans les secteurs du FAI, du MSP et de l’informatique, le plus ancien événement d’exploitation ayant eu lieu dans un FAI américain le 12 juin 2024.

La graphique suivante fournit un aperçu de ce que Black Lotus Labs observe en lien avec l’exploitation de CVE-2024-xxxx et l’utilisation du shell web VersaMem :


Aperçu du processus d'exploitation de Versa Director et de la fonctionnalité du shell web VersaMem.

Vue d’ensemble du processus d’exploitation de Versa Director et de la fonctionnalité du shell web VersaMem.

Black Lotus Labs

En tant que journaliste, je constate que ce type d’exploitation met en lumière non seulement les dangers de la sécurité numérique, mais aussi l’importance cruciale des mesures de protection rigoureuses pour les infrastructures essentielles. Les entreprises doivent prendre conscience de ces menaces et veiller à ce que leurs systèmes soient sécurisés pour protéger à la fois leurs données et celles de leurs clients.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *