Datum der Offenlegung: 22. August 2024
CVE-ID und CVSS-Score: CVE-2024-39717: CVSS 7.2 High (zugewiesen von NIST) und CVSS 6.6 Medium (zugewiesen von HackerOne)
Name und Beschreibung des Problems: Versa Director Gefährlicher Dateityp-Upload-Schwachstelle
Beschreibung des Vermögenswerts:
- Versa Director ist eine zentrale Verwaltungsoberfläche, die Unternehmen bei der Steuerung und Überwachung ihrer Netzwerkinfrastruktur unterstützt, insbesondere bei softwaredefinierten Wide Area Networks (SD-WANs). Sie wird häufig von ISPs und MSPs zur Konfiguration, Bereitstellung und Überwachung von Netzwerkressourcen an mehreren Standorten verwendet.
- Diese Sicherheitslücke betrifft die Versa Director-Versionen 21.2.3, 22.1.2 und 22.1.3
Auswirkungen der Schwachstelle: Ein authentifizierter Benutzer mit den Berechtigungen Provider-Data-Center-Admin oder Provider-Data-Center-System-Admin könnte die Funktion "Favicon ändern" in der Versa Director-GUI ausnutzen, um eine bösartige .png-Datei hochzuladen. Aufgrund der hohen erforderlichen Berechtigungen und der Details in der Versa-Beratung, wird es als relativ schwierig angesehen, diese Sicherheitslücke erfolgreich auszunutzen. Außerdem ist die NVD-Liste darauf hin, dass die bösartige Datei bei Tests (die allerdings nicht vollständig waren) nicht auf dem Client ausgeführt wurde, und Berichte von Drittanbieter-Backbone-Telemetrie bleiben unbestätigt.
Details zur Ausbeutung:
Diese Sicherheitslücke wurde am Freitag, den 23. August, in den CISA KEV-Katalog aufgenommen. Black Lotus Labs hat die Ausnutzung dieser Schwachstelle mit der vom chinesischen Staat gesponserten Gruppe Volt Typhoon in Verbindung gebracht und schreibt sie aufgrund der beobachteten Taktiken und Techniken "mit mittlerer Sicherheit" zu.
Sie berichteten, dass die Gruppe eine benutzerdefinierte Web-Shell (mit dem Namen "VersaMem") verwendet, um diese Schwachstelle auszunutzen, wobei sie in erster Linie auf ungepatchte Versa Director-Systeme abzielt und die Versuche bis zum 12. Juni 2024 zurückreichen. Die laufenden Angriffe haben Berichten zufolge mehrere Opfer in den Bereichen ISP, MSP und IT betroffen. Zum Zeitpunkt der Erstellung dieses Berichts sind keine weiteren Bedrohungsakteure bekannt, die auf diese Schwachstelle abzielen.
Patch-Verfügbarkeit: Versa hat Patches zur Behebung dieser Sicherheitslücken unter den folgenden Links veröffentlicht:
Alle Instanzen sollten sofort auf die neueste gepatchte Version aktualisiert werden. Darüber hinaus hat Black Lotus eine eine Liste von IoCs die mit dieser Schwachstelle in Verbindung stehen.
Censys Perspektive:
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys online 163 freiliegende Geräte.
Um potenziell alle Versa Director-Instanzen zu identifizieren (Versionen können nicht erkannt werden), können die folgenden Censys -Abfragen verwendet werden:
- Censys Search Abfrageservices.software: (Hersteller: Versa und Produkt: Director)
- Censys ASM-Abfragehost.services.software: (Anbieter: Versa und Produkt: Director) oder web_entity.instances.software: (Anbieter: Versa und Produkt: Director)
Es wird empfohlen, diese Geräte in ein geschütztes Netzwerk einzubinden, damit sie keine Ports für das öffentliche Internet freigeben.
Referenzen: