中国APT组织利用漏洞部署网络Shell

关键要点

中国黑客利用Versa Director中的零日漏洞，针对ISP、MSP和IT企业进行攻击。攻击组Volt Typhoon通过网络Shell窃取用户凭证。Versa Networks已发布补丁并提供了防火墙和系统硬化指南，但漏洞仍对未加固的客户构成威胁。

版权：aslysun / Shutterstock

国家支持的中国黑客利用了一种零日漏洞，该漏洞位于Versa Director这一管理SDWAN基础设施的软件平台上，广泛用于互联网服务提供商ISPs和管理服务提供商MSPs。该攻击组在安全行业中被称为Volt Typhoon，过去曾多次针对美国的重要基础设施组织。

“Black Lotus Labs已观测到对Versa Director服务器的零日利用，这一漏洞现被标记为CVE202439717，早在2024年6月12日就已被利用，”Lumen Technologies下属的Black Lotus Labs团队在一份报告中指出。“此次攻击活动高度针对性，影响了多个美国的ISP、MSP及IT行业的受害者。”

Versa Networks作为Versa Director及其他SDWAN和SASE产品的开发商，本周修补了CVE202439717漏洞，并在7月26日提醒客户检查他们的防火墙要求，随后在8月9日通报这一被积极利用的漏洞。

水母梯子下载

“尽管这个漏洞很难被利用，但其评级为‘高’，并影响所有未实施系统硬化和防火墙指南的Versa SDWAN客户，”该公司在周一发布的公告中表示。

该公司补充说，自2015年和2017年起，防火墙和系统硬化指南就已提供，这本可以防止对该漏洞的利用。受影响的系统在互联网上暴露了管理端口，这为攻击者提供了初始访问权限。

危险文件类型上传导致网络Shell

该漏洞允许攻击者向承载Versa Director软件的底层Tomcat Java web服务器上传恶意文件，从而导致权限提升。Volt Typhoon借此上传了一个网络Shell一个提供后门访问的Web脚本。

Black Lotus Labs将Volt Typhoon的网络Shell命名为VersaMem，因为它通过利用Java Instrumentation API和Javassist Java字节码处理工具，将恶意代码注入到Tomcat服务器进程的内存中。

该网络Shell的目的是通过挂钩Versa内置的“setUserPassword”身份验证方法，窃取Versa用户的明文凭证。它还能够动态加载内存中的Java模块，并通过监测发送到Tomcat服务器的Web请求中的特殊参数接收指令。通过网络Shell捕获的凭证存储在本地临时文件中，可能使攻击者能够访问并破坏其他下游客户基础设施。

攻击者通过从被攻陷的SOHO路由器连接到暴露的Versa管理界面TCP端口4566获得初始的特权访问。该端口通常用于Versa Director节点配对，因此不应有来自未知IP地址或其他设备的通信。

“我们评估TCP流量短时间内向4566端口的流入，紧接着是来自非Versa节点IP地址例如SOHO设备的HTTPS流量中等到大量的会话，很可能是成功利用的迹象，”Black Lotus Labs的研究人员表示。

通过利用Lumen的全球遥测，研究人员识别出了美国境内四个可能的受害者和一个境外受害者，这些受害者均来自ISP、MSP及IT行业。

研究人员还在6月7日找到了一种上传到VirusTotal扫描引擎的VersaMem变种，早于已