Le groupe de hackers Volt Typhoon, soutenu par l’État chinois, exploite une vulnérabilité zero-day dans Versa Director, une plateforme de gestion utilisée par les FAI et les opérateurs mobile pour gérer les connexions WAN virtuelles.

☕📁⬆ La vulnérabilité, identifiée comme CVE-2024-39717, permet aux acteurs malveillants disposant de privilèges administrateur de télécharger des fichiers d’archive Java (JAR) malveillants déguisés en images PNG, qui peuvent ensuite être exécutés à distance. Les attaquants ont utilisé cette vulnérabilité pour télécharger un shell Web personnalisé, surnommé « VersaMem », afin de voler des informations d’identification et de pénétrer dans les réseaux des opérateurs.

🔴 Pour obtenir ces privilèges administrateurs, les attaquants ont accédé à un port de haute disponibilité exposé utilisé pour l’appairage de nœuds, puis en utilisant un client NCS pour créer un compte avec des privilèges élevés. Les attaquants ont ensuite exploité la vulnérabilité zero-day pour implanter le shell Web malveillant, qui a été utilisé pour voler les informations d’identification des utilisateurs légitimes.

☣ La vulnérabilité a été corrigée dans la dernière version de Versa Director, 22.1.4. Au moins cinq organisations aux États-Unis et une en Inde ont été touchées par la faille zero-day, les acteurs de la menace ayant pénétré le réseau dans au moins une des attaques. Des analyses forensiques sont toujours en cours pour déterminer le nombre de victimes et l’ampleur des dégâts. 🕵‍♀️