„Neue Sicherheitslücke bei Versa Director ermöglicht das Abfangen von Kundendaten“

In den letzten Tagen ist eine Sicherheitslücke in der Netzwerksoftware Versa Director (CVE-2024-39717) verstärkt ausgenutzt worden, wie Sicherheitsforscher Lumens herausgefunden haben. Dabei konnten Angreifer bei mindestens drei Internet Service Providern in den USA und einem außerhalb des Landes Kundendaten wie Logins und Passwörter im Klartext abfangen, bevor sie gehasht und gespeichert wurden. Dieser Angriff wird als Volt Typhoon bezeichnet und wird der chinesischen Regierung zugeschrieben, die jedoch jede Verbindung zu der kriminellen Bande leugnet.

Die Angriffsmethode beginnt mit der Ausnutzung ungepatchter Sicherheitslücken in Internetroutern, die als Proxys für Verbindungen zur Infrastruktur der ISP dienen. Sobald der Versa Director kompromittiert ist, wird eine Web Shell installiert, die verschiedene Schadroutinen nachladen kann. Ein Modul dieser Web Shell zeichnet sich beispielsweise dadurch aus, dass es Kundendaten im Klartext abfängt, bevor sie gehasht werden.

Es wird dringend empfohlen, die notwendigen Patches für die Versa Director Software zu installieren und entsprechende Firewall-Einstellungen vorzunehmen, um solche Angriffe zu verhindern. Laut Lumen sind diese Angriffe hochrelevant, da die Täter offensichtlich versuchen, sich dauerhaft in kritische Infrastrukturen einzunisten. Die gesammelten Passwörter könnten beispielsweise in Krisenzeiten genutzt werden, um mit korrekten Kundenpasswörtern Chaos zu verursachen.

Es ist wichtig, dass Internet Service Provider und Unternehmen, die die Versa Director Software einsetzen, ihre Systeme umgehend überprüfen und alle notwendigen Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. Die Sicherheit der Kundendaten und die Integrität des Netzwerks sollten immer an erster Stelle stehen, um mögliche Schäden durch Cyberkriminalität zu vermeiden.