Fecha de divulgación: 22 de agosto de 2024
CVE-ID y puntuación CVSS: CVE-2024-39717: CVSS 7.2 Alto (asignado por el NIST) y CVSS 6.6 Medio (asignado por HackerOne)
Nombre y descripción del problema: Vulnerabilidad de carga de tipo de archivo peligroso de Versa Director
Descripción del activo:
- Versa Director es una interfaz de gestión centralizada que ayuda a las organizaciones a controlar y supervisar su infraestructura de red, especialmente para redes de área extensa definidas por software (SD-WAN). Los ISP y los MSP suelen utilizarla para configurar, desplegar y supervisar recursos de red en varias ubicaciones.
- Esta vulnerabilidad afecta a las versiones 21.2.3, 22.1.2 y 22.1.3 de Versa Director.
Impacto de la vulnerabilidad: Un usuario autenticado con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin podría aprovechar la función "Change Favicon" de la interfaz gráfica de usuario de Versa Director para cargar un archivo .png malicioso. Sin embargo, debido al alto nivel de privilegios necesarios y a los detalles descritos en el aviso de el aviso de Versa, esta vulnerabilidad se considera relativamente difícil de explotar con éxito. Además, el listado NVD señala que en las pruebas (aunque no exhaustivas), el archivo malicioso no se ejecutó en el cliente, y los informes de telemetría de red troncal de terceros siguen sin confirmarse.
Detalles de la explotación:
Esta vulnerabilidad se añadió al catálogo CISA KEV el viernes 23 de agosto. Black Lotus Labs ha vinculado la explotación de esta vulnerabilidad al grupo patrocinado por el estado chino Volt Typhoon, atribuyéndola "con moderada confianza" basándose en las tácticas y técnicas observadas.
Informaron de que el grupo ha estado utilizando una shell web personalizada (apodada "VersaMem") para explotar esta vulnerabilidad, principalmente dirigida a sistemas Versa Director sin parches, con intentos que se remontan al 12 de junio de 2024. Al parecer, los ataques en curso han afectado a varias víctimas en los sectores de ISP, MSP y TI. En el momento de redactar el presente documento, no se tiene constancia de que otros actores de amenazas estén atacando esta vulnerabilidad.
Disponibilidad de parches: Versa ha publicado parches para solucionar estas vulnerabilidades en los siguientes enlaces:
Todas las instancias deben actualizarse inmediatamente a la última versión parcheada. Además, Black Lotus ha publicado una lista de IoCs asociados con esta vulnerabilidad.
Censys Perspectiva:
En el momento de redactar este informe, Censys observó 163 dispositivos expuestos en línea.
Para identificar potencialmente todas las instancias de Versa Director (no se pueden detectar las versiones), se pueden utilizar las siguientes consultas de Censys :
- Censys Consulta de búsqueda: servicios.software: (proveedor: Versa y producto: Director)
- Censys Consulta ASM: host.services.software: (proveedor: Versa y producto: Director) o web_entity.instances.software: (proveedor: Versa y producto: Director)
Se recomienda segmentar estos dispositivos en una red protegida para que no expongan puertos a la Internet pública.
Referencias:
