Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス

Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス

2024年8月 米国の通信会社Lumenテクノロジーのセキュリティ研究者は、中国の国家的ハッカー集団Volt Typhoon(ボルトタイフーン)がネットワーク管理サービスVersa Director のゼロデイ脆弱性(CVE-2024-39717)を悪用し不正アクセスしていることを発表しました。

Versa Directorの脆弱性 CVE-2024-39717 について

Versa Directorの脆弱性 CVE-2024-39717 は深刻度レベル: 高 の脆弱性で

この脆弱性により、Provider-Data-Center-Admin または Provider-Data-Center-System-Admin 権限を持つユーザーがPNG 画像に偽装した悪意のある Java ファイルをアップロードし、リモートで実行できるようになります。

なお、パッチリリース済みですメーカー側も本脆弱性を悪用されていることを確認しています。

Volt Typhoon(ボルト タイフーン)がVersa Directorの脆弱性を悪用

Volt Typhoon が侵害したSOHO向けのルーターと、Java インストルメンテーションと Javassist を活用した高度な JAR Web シェルを使用して、悪意のあるコードをVersa Director サーバーの Tomcat Web サーバーのプロセス メモリ領域に挿入します。

コード挿入されると、Webシェル コードは Versa の認証機能をフックし、

資格情報を傍受することにより、正当な資格情報の使用を通じてクライアントインフラの下流への侵害が可能になります。

さらに、Web シェルは Tomcat のリクエスト フィルタリング機能をフックし、脅威アクターはファイルベースの検出方法を回避し、Web シェルやそのモジュール、およびゼロデイ自体を保護しながら、侵害されたサーバーのメモリ内で任意の Java コードを実行できます。

Lumen の研究者は、管理者がデバイスで新しく作成されたアカウントを確認し、ポート 4566 および 4570 の HA ポートへのアクセスを制限することを推奨しています。

対象のデバイスは100台程度

Censysで検索するとインターネットに公開されているVersa Directorサーバーは100台程度存在しています。

SOHO向けルーターを踏み台にするVolt Typhoon(ボルト タイフーン)

TP-Linkは米国の家庭やSOHO系企業、米軍事施設でも利用されておりこのルーターが、中国の国家的な不正アクセスやサイバー攻撃のキャンペーンで踏み台にさせる危険性を指摘しています。

2023年5月、マイクロソフトはKV Botnetと呼ばれるボットネットを利用し、グアム、ハワイ、および米軍基地周辺のその他の地域にある米国の重要インフラを標的としたVolt Typhoonのキャンペーンを初めて報告しました。

KV Botnetはサポート期間を過ぎたSoho向けのCisco製およびNetgear製ルーターへ感染させるボットネットで中国からのアクセスの偽装と将来の紛争発生の際のインフラ停止を目的として利用されました。

また、アメリカでは中国製ルーター TP-Linkの危険性やリスクが指摘されています。

脆弱性の影響を受けるバージョン

影響を受けるバージョンは以下です。対策などは公式をご覧ください

バージョン影響を受けるバージョン影響を受けないバージョン
22.1.4なし全て
22.1.32024 年 6 月 21 日のホット フィックスより前にリリースされた 22.1.3 イメージ。22.1.3
2024 年 6 月 21 日のホット フィックス以降。
22.1.22024 年 6 月 21 日のホット フィックスより前にリリースされた 22.1.2 イメージ。22.1.2
2024 年 6 月 21 日のホット フィックス以降。
22.1.1全てなし。最新バージョン 22.1.3 にアップグレードしてください。
21.2.32024 年 6 月 21 日のホット フィックスより前にリリースされた 21.2.3 イメージ。21.2.3
2024年6月21日以降。
21.2.2全てなし。最新バージョン 21.2.3 にアップグレードしてください。

引用

Taking the Crossroads: The Versa Director Zero-Day Exploitation

TOPへ