Black Lotus Labs
美国电信业者Lumen Technologies旗下资安团队Black Lotus Labs,本周二(8/27)公布了发现Versa Networks旗下Versa Director零时差漏洞CVE-2024-39717的过程,该团队相信利用该漏洞的是中国国家级骇客Volt Typhoon,已知入侵5家业者,涵盖网路服务供应商(ISP)、托管服务供应商(MSP),以及资讯技术领域的业者,当中有4家业者位于美国。
Versa Networks定位为安全存取服务边缘(Secure Access Service Edge,SASE)供应商,这是零信任架构的一环,用以保护传统网路边界内部与外部的网路元素,涉及软体定义广域网路(SD-WAN)、虚拟私人网路(VPN)、安全网站闸道(SWG)、云端存取安全代理(CASB)、防火墙,以及零信任网路存取等。至于Versa Director则是Versa Networks服务的管理平台,用以建立、管理及监控各种Versa服务,简化SD-WAN与各种网路服务的支付及管理。
CVE-2024-39717漏洞则存在于Versa Director中。Versa Director的图像使用者介面有一个可以客制化介面的功能,只有在以Provider-Data-Center-Admin或Provider-Data-Center-System-Admin身分登入时才得以存取,不过,CVE-2024-39717却让该功能可被用来上传伪装成图像档、采用.png副档名的恶意档案。
Black Lotus Labs团队发现,早在今年6月就有骇客利用CVE-2024-39717展开攻击,骇客先透过曝露于公开网路的Versa管理埠存取系统,再部署针对该漏洞所设计的、名为VersaMem的Web Shell。VersaMem的主要功能是拦截与搜集凭证,以让骇客能够光明正大地进入下游的客户网路,VersaMem亦是模组化的,允许骇客载入其它的Java程式码以于记忆体中执行。
至于Versa Networks则解释,该公司先后于2015年及2017年公布了防火墙要求(Firewall Requirements)与系统强化要求(System Hardening),若用户没有遵循上述要求,便会于公开网路上曝露一个管理埠,而让骇客取得了最初的存取权限;骇客接著即可透过CVE-2024-39717漏洞上传恶意档案。
此一漏洞波及所有没有部署上述要求,并使用Versa Director的Versa SD-WAN用户,受影响的版本包括Versa Director 21.2.2/21.2.3/22.1.1/22.1.2/22.1.3。根据Versa Networks的说法,CVE-2024-39717虽然是一个高风险漏洞,但并不容易遭到利用。
其实Versa Networks早在今年6月就修补了各个版本的CVE-2024-39717漏洞,但不管是美国网路安全暨基础设施安全局(CISA)、Versa Networks或Black Lotus Labs却又在本周大张旗鼓地披露此一漏洞,或许是因为Black Lotus Labs发现,直至今年8月初骇客仍在利用此一漏洞,因而出面呼吁Versa用户应该详阅安全公告,实施Versa所提供的防火墙与系统强化要求,修补安全漏洞,并搜寻系统上是否含有各式入侵指标(IOC)。