Date de divulgation: 22 août 2024
CVE-ID et score CVSS: CVE-2024-39717 : CVSS 7.2 High (attribué par NIST) et CVSS 6.6 Medium (attribué par HackerOne)
Nom et description du problème: Vulnérabilité de téléchargement de type de fichier dangereux de Versa Director
Description de l'actif:
- Versa Director est une interface de gestion centralisée qui aide les organisations à contrôler et à surveiller leur infrastructure réseau, en particulier pour les réseaux étendus définis par logiciel (SD-WAN). Il est couramment utilisé par les FAI et les MSP pour configurer, déployer et superviser les ressources réseau sur plusieurs sites.
- Cette vulnérabilité affecte les versions 21.2.3, 22.1.2 et 22.1.3 de Versa Director.
Impact de la vulnérabilité: Un utilisateur authentifié disposant des privilèges Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin peut exploiter la fonctionnalité "Change Favicon" de l'interface graphique de Versa Director pour télécharger un fichier .png malveillant. Cependant, en raison du niveau élevé de privilèges requis et des détails décrits dans l'avis de Versa, l'exploitation de la fonction "Change Favicon" n'est pas possible. Versa, cette vulnérabilité est considérée comme relativement difficile à exploiter avec succès. En outre, la liste NVD indique que lors des tests (bien que non exhaustifs), le fichier malveillant ne s'est pas exécuté sur le client, et que les rapports de télémétrie du réseau dorsal d'une tierce partie ne sont pas confirmés.
Détails de l'exploitation:
Cette vulnérabilité a été ajoutée au catalogue CISA KEV le vendredi 23 août. Black Lotus Labs a établi un lien entre l'exploitation de cette vulnérabilité et le groupe d'État chinois Volt Typhoon, l'attribuant "avec une confiance modérée" sur la base des tactiques et techniques observées.
Le groupe utilise un shell web personnalisé (appelé "VersaMem") pour exploiter cette vulnérabilité, en ciblant principalement les systèmes Versa Director non corrigés, avec des tentatives remontant au 12 juin 2024. Les attaques en cours auraient touché plusieurs victimes dans les secteurs des FAI, des MSP et de l'informatique. À l'heure où nous écrivons ces lignes, aucun autre acteur de la menace n'est connu pour cibler cette vulnérabilité.
Disponibilité des correctifs: Versa a publié des correctifs pour remédier à ces vulnérabilités sur les liens suivants :
Toutes les instances doivent être mises à jour immédiatement avec la dernière version corrigée. En outre, Black Lotus a publié une liste des IoC associés à cette vulnérabilité.
Censys Perspective :
Au moment de la rédaction du présent document, le site Censys recensait 163 appareils exposés en ligne.
Pour identifier potentiellement toutes les instances de Versa Director (les versions ne peuvent pas être détectées), les requêtes suivantes Censys peuvent être utilisées :
- Censys Requête de rechercheServices.logiciels : (fournisseur : Versa et produit : Director)
- Censys Requête ASM: host.services.software : (vendor : Versa and product : Director) or web_entity.instances.software : (vendor : Versa and product : Director)
Il est recommandé de segmenter ces appareils dans un réseau protégé afin qu'ils n'exposent pas de ports à l'internet public.
Références :