vegefox.com - stock.adobe.com

Volt Typhoon exploite une vulnérabilité inédite dans Versa Director

Les chercheurs de Lumen Technologies ont observé l’exploitation de la CVE-2024-39717 contre quatre organisations américaines dans les secteurs des fournisseurs d’accès et des ESN.

Le groupe de menace avancée persistante (APT) attribué à l’État chinois, Volt Typhoon, a exploité une vulnérabilité de type zero-day dans le logiciel Versa Director de Versa Networks, selon les chercheurs de Lumen Technologies.

Identifiée sous la référence CVE-2024-39717, cette vulnérabilité critique permet une élévation de privilèges qui autorise le téléversement de fichiers malveillants avec des droits administrateur sur les serveurs Versa Director.

Les chercheurs des Black Lotus Labs de Lumen Technologies ont observé des exploitations de cette vulnérabilité dès le 12 juin 2024, attribuant ces activités avec une confiance modérée à Volt Typhoon. Ce groupe, attribué au gouvernement chinois, cible principalement les infrastructures critiques aux États-Unis.

Une analyse a révélé l’utilisation d’un web shell unique nommé « VersaMem », conçu pour intercepter et collecter les identifiants permettant un accès authentifié aux réseaux des clients en aval. Selon le rapport de Lumen, quatre organisations américaines et une organisation non américaine dans les secteurs des fournisseurs d’accès à Internet, et des ESN ont été touchées.

Les attaques ont été lancées à partir de routeurs contrôlés par les attaquants, une méthode déjà utilisée par Volt Typhoon lors de précédentes attaques. Versa Networks a confirmé l’exploitation de cette vulnérabilité dans au moins un cas connu par un acteur de menaces persistantes avancées, ciblant spécifiquement les fournisseurs de services managés. L’équipementier dit avoir connaissance de trois victimes.

Les chercheurs des Black Lotus Labs ont averti que les attaques contre les serveurs non patchés de Versa Director étaient probablement toujours en cours. Ils recommandent vivement aux utilisateurs de mettre à jour leur logiciel avec la version corrigée et de rechercher des indicateurs de compromission dans leurs réseaux. Ils préconisent également l’application de règles de pare-feu et de techniques de durcissement du système déjà envoyées aux clients par Versa Networks.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)