Une faille de Versa Director conduit à une exploitation d'API et affecte les clients SD-WAN

Les vulnérabilités de Versa Director ne sont jamais une mince affaire, car la plateforme gère les configurations réseau pour le logiciel SD-WAN de Versa

Une vulnérabilité dans Versa Director de Versa Networks, utilisée par les fournisseurs de services Internet (FAI) et les fournisseurs de services gérés (MSP) pour gérer les configurations réseau du logiciel SD-WAN de Versa, a été divulguée par l'organisme de cybersécurité et de sécurité des infrastructures. Agence (CISA). La vulnérabilité, identifiée comme CVE-2024-45229, a une gravité de 6,6 et affecte cinq versions du logiciel.

Il est conseillé aux organisations utilisant des versions vulnérables de prendre des mesures immédiates pour protéger leurs réseaux en effectuant une mise à niveau vers une version plus récente. L'avis fait suite à une vulnérabilité de haute gravité le mois dernier, CVE-2024-39717, qui a été utilisée pour attaquer des clients en aval lors d'une attaque de chaîne d'approvisionnement.

Le scanner ODIN de Cyble affiche actuellement 73 instances Versa Director exposées sur Internet, bien qu'il ne soit pas clair combien d'entre elles contiennent la dernière vulnérabilité.

Un défaut de Versa Director conduit à une exploitation de l'API

Les API REST de Versa Director sont conçues pour faciliter l'automatisation et rationaliser les opérations via une interface unifiée, permettant aux équipes informatiques de configurer et de surveiller leurs systèmes réseau plus efficacement. Cependant, une faille dans la mise en œuvre de ces API permet une validation incorrecte des entrées, ont expliqué les chercheurs de Cyble en matière de renseignements sur les menaces dans un article de blog.

Les API en question sont conçues pour ne pas nécessiter d'authentification par défaut, ce qui les rend accessibles à toute personne disposant d'une connectivité réseau. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête GET spécialement conçue à une instance Versa Director directement connectée à Internet.

« Pour les directeurs Versa connectés directement à Internet, les attaquants pourraient potentiellement exploiter cette vulnérabilité en injectant des arguments non valides dans une requête GET », a déclaré Cyble. "Cela pourrait exposer les jetons d'authentification des utilisateurs actuellement connectés, qui peuvent ensuite être utilisés pour accéder à des API supplémentaires sur le port 9183."

Bien que l'exploit lui-même ne révèle pas les informations d'identification de l'utilisateur, « les implications de l'exposition des jetons pourraient conduire à des failles de sécurité plus larges. »

« L'exposition de ces jetons peut permettre aux attaquants d'accéder à des API supplémentaires », a déclaré Cyble. « Un tel accès non autorisé pourrait faciliter des violations de sécurité plus larges, affectant potentiellement les données sensibles et l'intégrité opérationnelle. »

Versa suggère qu'un pare-feu d'application Web (WAF) ou une passerelle API pourrait être utilisé pour protéger les instances Versa Director exposées à Internet en bloquant l'accès aux URL des API vulnérables (/vnms/devicereg/device/* sur les ports 9182 et 9183 et /versa/vnms/devicereg/device/* sur le port 443).

Versions Versa Director concernées

La vulnérabilité affecte plusieurs versions de Versa Director, en particulier celles publiées avant le 9 septembre 2024. Cela inclut les versions 22.1.4, 22.1.3 et 22.1.2, ainsi que toutes les versions de 22.1.1, 21.2. 3, et 21.2.2.

Les versions publiées le 12 septembre et les versions ultérieures contiennent un correctif pour la vulnérabilité.

La faille provient principalement des API qui, de par leur conception, ne nécessitent pas d'authentification. Ceux-ci incluent des interfaces pour se connecter, afficher des bannières et enregistrer des appareils.

Recommandations Cyble

Les chercheurs de Cyble recommandent les mesures d'atténuation et les bonnes pratiques suivantes pour protéger les instances Versa Director :

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!