Hacker in a data center

Versa Directorのゼロデイ欠陥を悪用してカスタムWebシェルをアップロードし、認証情報を盗んで企業ネットワークに侵入した攻撃の背後には、中国国家に支援されたハッキンググループVolt Typhoonがいる。

Versa Directorは、ISPやMSPがSD-WANサービスを使用して作成された仮想WAN接続を管理するために使用する管理プラットフォームです。

この脆弱性はCVE-2024-39717として追跡されており、管理者がVersa DirectorのGUIをカスタマイズするためにカスタムアイコンをアップロードできる機能に存在する。しかし、この欠陥により、管理者権限を持つ脅威者がPNG画像に偽装した悪意のあるJavaファイルをアップロードし、リモートで実行することが可能になっていた。

Versa社は昨日発表したアドバイザリーで、Directorのバージョン21.2.3、22.1.2、22.1.3がこの欠陥の影響を受けるとしている。最新バージョンである22.1.4にアップグレードすれば脆弱性は修正され、管理者はベンダーのシステムハードニング要件と ファイアウォールガイドラインを確認する必要がある。

Versa社によると、この脆弱性はシステムにログインしたユーザーから認証情報を採取するために使用されたため、特権昇格の欠陥に分類されるという。しかし、他のタイプのマルウェアが、デバイス上で異なるタイプの悪意のある活動を実行するために使用された可能性がある。

ネットワーク侵入に悪用

LumenのBlack Lotus Labsの研究者は6月17日、シンガポールからVirusTotalにアップロードされた「VersaTest.png」という悪意のあるJavaバイナリを発見し、Versaのゼロデイ脆弱性を発見しました。

このファイルを分析したところ、内部的には「Director_tomcat_memShell」と名付けられたカスタムJavaウェブシェルであることが判明したが、研究者らは「VersaMem」と命名した。このマルウェアは現在VirusTotalで0件検出されており、Versa Directors専用に設計されています。

グローバルテレメトリーを分析した結果、Black Lotus Labsは2024年6月12日以降、ゼロデイとしてVersaの脆弱性を悪用してこのウェブシェルを展開するSOHOルーターからのトラフィックを検出しました。

「我々は、ポート4566上のTCPセッションを持つ侵害されたSOHOデバイスを特定し、その直後にポート443上の大規模なHTTPS接続が数時間続いていた。ポート4566は一般的にVersa Directorノードのペアリング用に予約されており、ペアリング・ノードは通常このポートで長時間通信することから、短時間にSOHO機器からこのポートに正当な通信が行われることはないはずです。

我々は、ポート 4566 への TCP トラフィックの短い時間枠の直後に、Versa ノード以外の IP アドレス(SOHO デバイスなど)からのポート 443 を介した HTTPS トラフィックの中程度から大規模なセッションが発生することを、悪用が成功した可能性の高い兆候と評価しています。”

❖ Black Lotus Labs

この脆弱性には管理者権限が必要ですが、研究者によると、脅威者はノードの高可用性(HA)ペアリングに使用されるVersa Directorのポートを公開することで、昇格した権限を得ることができたとのことです。

Versa社はこのことを確認し、脅威者は以下の手順で脆弱性を悪用して認証情報を盗んだと説明している:

  1. NCSクライアントを使用して公開されたHAポートにアクセスし、Provider-Data-Center-AdminまたはProvider-Data-Center-System-Admin権限を持つアカウントを作成する。
  2. ステップ#1で作成したアカウントを使用してゼロデイ脆弱性を悪用し、認証情報を盗むために使用する悪意のある JAR Web シェルを仕掛ける。
  3. (オプション)手順#1で作成したアカウントを削除します。
  4. ステップ#2以降にログインした正規ユーザーの認証情報を盗む。

Versa社によると、HAポートが同社のファイアウォールガイドラインに従って保護されていれば、脅威行為者はこの欠陥を悪用することはできなかったという。なぜこのポートがデフォルトで開いていたのかとの質問に対し、Versa社は高可用性機能のために必要だったと答えた。

Black Lotus Labsは7月20日にこの欠陥をVersa社に報告し、Versa社は7月26日に顧客に非公開で警告を発した。

カスタムVersaMemウェブシェルは、主に正規ユーザーの認証情報を盗み出し、標的の内部ネットワークに侵入するために使用される。盗み出されたパスワードは暗号化され、/tmp/.temp.dataファイルに保存され、後に脅威行為者によって取得される。

また、カスタムWebシェルは、攻撃者が送信したインメモリJavaバイトコードをこっそりとロードすることができ、侵害されたVersa Directorデバイス上で実行されているTomcat Webサーバーで実行されます。

Volt Typhoon attack flow on Versa Director
Versa Director上のVolt Typhoon攻撃フロー
出典:Lumen’s Black Lotus Lab:ルーメンのBlack Lotus Labs

Black Lotus Labsによると、このゼロデイによって影響を受けた組織は米国に4つ、インドに1つあり、そのうちの少なくとも1つの攻撃で脅威者がネットワークに侵入しているとのことです。

「当社のグローバルテレメトリーの分析により、2024年6月12日の時点で、インターネットサービスプロバイダー(ISP)、マネージドサービスプロバイダー(MSP)、情報技術(IT)セクターの米国内の4つの被害者と米国外の1つの被害者において、このゼロデイ脆弱性を悪用したアクター制御の小規模オフィス/ホームオフィス(SOHO)デバイスが確認された」とBlack Lotus Labsは説明しています。

顧客は、/var/versa/vnms/web/custom_logo/フォルダに不審なファイルがないか検査することで、自分のデバイスが侵害されたかどうかを確認することができます。LumenのBlack Lotus Labsは、管理者がデバイスに新しく作成されたアカウントがないかチェックし、ポート4566と4570のHAポートへのアクセスを制限することを推奨している。

研究者は、このキャンペーンに関連するIoCの完全なリストと、攻撃を軽減するためのさらなる手順をレポートで共有しています。

この記事の公開後、サイバーセキュリティ企業Censysは、インターネット上に163台のVersa Directorサーバーが公開されているのを確認したと発表した。

これらのサーバーのうち、脆弱性を悪用するために必要な昇格特権を得るために使用できる高可用性ポートが公開されているため、8台が脆弱である可能性があると判断した。

この8台のサーバーのうち、5台は米国、1台は中国、1台は香港、最後の1台はチェコ共和国である。

Volt Typhoon

研究者は、既知の戦術、技術、手順に基づいて、これらの攻撃をVolt Typhoon(別名Bronze Silhouette)と関連付けた。

Volt Typhoonは、SOHOルーターやVPNデバイスをハイジャックし、それを使って標的の組織にステルス攻撃を仕掛けることで知られる、中国国家に支援されたハッキング・グループです。

脅威の主体は、侵害されたルーター、ファイアウォール、およびVPNデバイスを使用して、悪意のあるトラフィックを正規のトラフィックと混合させ、攻撃が検出されないようにします。

2023年12月、Black Lotus Labsは、Volt TyphoonがSOHOルーター、VPNデバイス、IPカメラを侵害し、標的のネットワークに攻撃を仕掛けるための「KV-botnet」を構築していたことを公表しました。このキャンペーンでマルウェアをホストするために侵害されたデバイスには、Netgear ProSAFEファイアウォール、Cisco RV320、DrayTek Vigorルーター、Axis IPカメラなどがあった。

その1カ月後、CISAとFBIは共同勧告を発表し、小規模オフィス/ホームオフィス(SOHO)ルーターの製造業者に対し、Volt Typhoonによる攻撃に対するデバイスのセキュリティを確保するよう呼びかけました。

同日、FBIは、Volt Typhoonが米国の重要インフラを攻撃するために使用していたKV-botnetを妨害したことを明らかにした。

Volt Typhoonは2月、FortiOS SSL VPNのリモートコード実行の脆弱性を悪用してカスタムマルウェアをインストールし、2万台以上のフォーティネットデバイスがこの攻撃の影響を受けました。

更新 8/27/24: Censysから公開されたサーバーに関する情報を追加しました。