Hackerii rău-intenționați care lucrează probabil în numele guvernului chinez au exploatat o vulnerabilitate de mare severitate zero-day care le-a permis să infecteze cel puțin patru ISP din SUA cu programe malware care fură acreditările folosite de clienții din aval, au spus cercetătorii marți.
Vulnerabilitatea rezidă în Director Versao platformă de virtualizare care permite ISP-urilor și furnizorilor de servicii gestionați să gestioneze infrastructuri complexe de rețea dintr-un singur tablou de bord, cercetători de la Black Lotus Labs, filiala de cercetare a firmei de securitate Lumen, spuse. Atacurile, care au început nu mai târziu de 12 iunie și sunt probabil în curs de desfășurare, permit actorilor amenințărilor să instaleze „VersaMem”, numele pe care Lumen l-a dat unui shell web personalizat care oferă control administrativ de la distanță al sistemelor Versa Director.
Obținerea controlului administrativ asupra infrastructurii ISP
Controlul administrativ permite VersaMem să ruleze cu privilegiile necesare pentru a conecta metodele de autentificare Versa, ceea ce înseamnă că shell-ul web poate deturna fluxul de execuție pentru a-l face să introducă noi funcții. Una dintre funcțiile adăugate de VersaMem include capturarea acreditărilor în momentul în care un client ISP le introduce și înainte ca acestea să fie hashing criptografic. Odată ce au ajuns în posesia acreditărilor, actorii amenințărilor lucrează pentru a compromite clienții. Black Lotus nu a identificat niciunul dintre ISP-urile, MSP-urile sau clienții din aval afectați.
Comentarii recente