Black Lotus Labs

美国电信业者Lumen Technologies旗下资安团队Black Lotus Labs，本周二（8/27）公布了发现Versa Networks旗下Versa Director零时差漏洞CVE-2024-39717的过程，该团队相信利用该漏洞的是中国国家级黑客Volt Typhoon，已知入侵5家业者，涵盖网络服务供应商（ISP）、托管服务供应商（MSP），以及信息技术领域的业者，当中有4家业者位于美国。

Versa Networks定位为安全存取服务边缘（Secure Access Service Edge，SASE）供应商，这是零信任架构的一环，用以保护传统网络边界内部与外部的网络元素，涉及软件定义广域网络（SD-WAN）、虚拟私人网络（VPN）、安全网站闸道（SWG）、云端存取安全代理（CASB）、防火墙，以及零信任网络存取等。至于Versa Director则是Versa Networks服务的管理平台，用以创建、管理及监控各种Versa服务，简化SD-WAN与各种网络服务的支付及管理。

CVE-2024-39717漏洞则存在于Versa Director中。Versa Director的图像使用者介面有一个可以客制化界面的功能，只有在以Provider-Data-Center-Admin或Provider-Data-Center-System-Admin身分登录时才得以存取，不过，CVE-2024-39717却让该功能可被用来上传伪装成图像档、采用.png文件扩展名的恶意文件。

Black Lotus Labs团队发现，早在今年6月就有黑客利用CVE-2024-39717展开攻击，黑客先通过曝露于公开网络的Versa管理端口存取系统，再部署针对该漏洞所设计的、名为VersaMem的Web Shell。VersaMem的主要功能是拦截与搜集凭证，以让黑客能够光明正大地进入下游的客户网络，VersaMem亦是模块化的，允许黑客加载其它的Java代码以于内存中运行。

至于Versa Networks则解释，该公司先后于2015年及2017年公布了防火墙要求（Firewall Requirements）与系统强化要求（System Hardening），若用户没有遵循上述要求，便会于公开网络上曝露一个管理端口，而让黑客取得了最初的存取权限；黑客接着即可通过CVE-2024-39717漏洞上传恶意文件。

此一漏洞波及所有没有部署上述要求，并使用Versa Director的Versa SD-WAN用户，受影响的版本包括Versa Director 21.2.2/21.2.3/22.1.1/22.1.2/22.1.3。根据Versa Networks的说法，CVE-2024-39717虽然是一个高风险漏洞，但并不容易遭到利用。

其实Versa Networks早在今年6月就修补了各个版本的CVE-2024-39717漏洞，但不管是美国网络安全暨基础设施安全局（CISA）、Versa Networks或Black Lotus Labs却又在本周大张旗鼓地披露此一漏洞，或许是因为Black Lotus Labs发现，直至今年8月初黑客仍在利用此一漏洞，因而出面呼吁Versa用户应该详阅安全公告，实施Versa所提供的防火墙与系统强化要求，修补安全漏洞，并搜索系统上是否含有各式入侵指针（IOC）。