Sebuah kerentanan zero-day yang baru ditemukan pada perangkat lunak Versa Director sedang dieksploitasi secara aktif oleh peretas yang diduga disponsori negara China, berpotensi membahayakan penyedia layanan internet (ISP) dan penyedia layanan terkelola (MSP) besar di Amerika Serikat.
Kerentanan
Kerentanan kritis ini, diidentifikasi sebagai CVE-2024-39717, mempengaruhi semua versi Versa Director sebelum 22.1.4. Versa Director adalah komponen kunci yang digunakan oleh ISP dan MSP untuk mengelola konfigurasi jaringan untuk jaringan area luas yang didefinisikan perangkat lunak (SD-WAN).
Serangan
Peneliti keamanan di Black Lotus Labs milik Lumen telah mengamati eksploitasi kerentanan ini setidaknya sejak 12 Juni 2024. Para penyerang, yang diduga bagian dari kelompok peretas yang dikenal sebagai Volt Typhoon dan Bronze Silhouette, menggunakan web shell khusus canggih bernama VersaMem untuk menyuntikkan kode berbahaya ke dalam server Versa Director.
 |
|---|
| Visualisasi data kompleks yang terlibat dalam serangan siber, merepresentasikan taktik canggih yang digunakan peretas untuk mengeksploitasi kerentanan |
Dampak dan Cakupan
Sejauh ini, serangan telah menargetkan empat korban di AS dan satu korban di luar AS, terutama di sektor ISP, MSP, dan TI. Dampak potensialnya sangat parah, karena server Versa Director yang disusupi dapat memungkinkan penyerang untuk:
- Mencuri kredensial dalam bentuk teks biasa
- Berpotensi membahayakan infrastruktur klien hilir
- Menyuntikkan kode berbahaya tambahan langsung ke memori server
- Menghindari deteksi melalui teknik canggih
Rekomendasi
Organisasi yang menggunakan Versa Director sangat disarankan untuk:
- Segera upgrade ke versi 22.1.4 atau yang lebih baru
- Memantau aktivitas mencurigakan pada port 4566
- Mencari file .png yang tidak sah di direktori webroot Versa
- Mengaudit akun pengguna dan meninjau log sistem
- Merotasi kredensial jika dicurigai ada pelanggaran
Implikasi Lebih Luas
Serangan ini menyoroti pentingnya penelitian kerentanan dan pengujian keamanan produk, terutama untuk perangkat lunak yang digunakan dalam mengelola infrastruktur kritis. Keterlibatan aktor yang diduga disponsori negara China menambahkan dimensi geopolitik pada ancaman ini, berpotensi berdampak pada keamanan nasional.
Seperti yang dicatat oleh Douglas McKee, Direktur Eksekutif Penelitian Ancaman di SonicWall: Serangan ini menggarisbawahi bagaimana kerentanan yang belum ditemukan dan karenanya belum diperbaiki dapat dimanfaatkan oleh aktor ancaman canggih untuk menyusup dan membahayakan infrastruktur kritis.
Insiden ini menjadi pengingat keras tentang tantangan keamanan siber yang terus dihadapi oleh organisasi yang mengelola layanan jaringan penting dan potensi gangguan luas melalui serangan yang ditargetkan pada komponen infrastruktur kunci.