A vulnerabilidade reside no Versa Director, uma plataforma de virtualização que permite aos ISPs e provedores de serviços gerenciados controlar infraestruturas de rede complexas a partir de um único painel, disseram os pesquisadores da Black Lotus Labs, braço de pesquisa da empresa de segurança Lumen. Os ataques, que começaram no mais tardar em 12 de junho e provavelmente estão em andamento, permitem que os atores ameaçadores instalem o “VersaMem”, nome dado pela Lumen a um shell web personalizado que concede controle administrativo remoto dos sistemas do Versa Director.
Obtendo controle administrativo da infraestrutura do ISP
O controle administrativo permite que o VersaMem seja executado com os privilégios necessários para interceptar os métodos de autenticação do Versa, significando que o shell web pode sequestrar o fluxo de execução para introduzir novas funções. Uma das funções adicionadas pelo VersaMem inclui a captura de credenciais no momento em que um cliente do ISP as insere e antes de serem criptograficamente hasheadas. Uma vez em posse das credenciais, os atores ameaçadores trabalham para comprometer os clientes. A Black Lotus não identificou nenhum dos ISPs, MSPs ou clientes downstream afetados.
Leia os 10 parágrafos restantes | Comentários
Redação Confraria Tech.
Referências:
Hackers infect ISPs with malware that steals customers’ credentials