Versa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響-ウェブ3.0-php.cn

ホームページ

ウェブ3.0

Versa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響

Patricia Arquette

Sep 25, 2024 am 09:13 AM

Token TheftVersa Director API Attacks

Versa Director の脆弱性は、プラットフォームが Versa の SD-WAN ソフトウェアのネットワーク構成を管理するため、決して小さな問題ではありません

Versa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響

インターネットサービスプロバイダー (ISP) およびマネージドサービスプロバイダー (MSP) が Versa の SD-WAN ソフトウェアのネットワーク構成を管理するために使用する Versa Networks の Versa Director の脆弱性が、サイバーセキュリティおよびインフラストラクチャセキュリティによって公開されました。代理店 (CISA)。この脆弱性は CVE-2024-45229 として追跡され、重大度は 6.6 と評価されており、ソフトウェアの 5 つのバージョンに影響します。

脆弱なバージョンを使用している組織は、新しいバージョンにアップグレードしてネットワークを保護するための措置を直ちに講じることをお勧めします。この勧告は、サプライチェーン攻撃で下流の顧客を攻撃するために使用された、先月発生した重大度の高い脆弱性 CVE-2024-39717 に続くものです。

Cyble の ODIN スキャナーは現在、インターネットに公開されている 73 個の Versa Director インスタンスを表示していますが、そのうちの何個に最新の脆弱性が含まれているかは不明です。

Versa Director の欠陥が API エクスプロイトにつながる

Versa Director の REST API は、統合インターフェイスを通じて自動化を促進し、運用を合理化するように設計されており、IT チームがネットワークシステムをより効率的に構成および監視できるようになります。ただし、これらの API の実装に欠陥があるため、不適切な入力検証が可能になると、Cyble 脅威インテリジェンスの研究者がブログ投稿で説明しました。

問題の API は、デフォルトでは認証を必要としないように設計されており、ネットワーク接続があれば誰でもアクセスできます。攻撃者は、インターネットに直接接続されている Versa Director インスタンスに特別に作成した GET リクエストを送信することで、この脆弱性を悪用する可能性があります。

「インターネットに直接接続されている Versa Director の場合、攻撃者は GET リクエストに無効な引数を挿入することで、この脆弱性を悪用する可能性があります」と Cyble 氏は述べています。「これにより、現在ログインしているユーザーの認証トークンが公開され、ポート 9183 で追加の API にアクセスするために使用される可能性があります。」

エクスプロイト自体はユーザーの資格情報を明らかにしませんが、「トークンの漏洩の影響により、より広範なセキュリティ侵害につながる可能性があります。」

「これらのトークンが公開されると、攻撃者が追加の API にアクセスできるようになる可能性があります」と Cyble 氏は述べています。「このような不正アクセスは広範なセキュリティ侵害を助長し、機密データや運用の完全性に影響を与える可能性があります。」

Versa は、Web アプリケーションファイアウォール (WAF) または API ゲートウェイを使用して、脆弱な API の URL (ポート 9182 上の /vnms/devicereg/device/* および9183 およびポート 443 の /versa/vnms/devicereg/device/*)。

影響を受ける Versa Director のバージョン

この脆弱性は、Versa Director の複数のバージョン、特に 2024 年 9 月 9 日より前にリリースされたバージョンに影響します。これには、バージョン 22.1.4、22.1.3、22.1.2 と、22.1.1、21.2 のすべてのバージョンが含まれます。 3、および 21.2.2.

9 月 12 日以降にリリースされたバージョンには、この脆弱性に対するホットフィックスが含まれています。

この欠陥は主に、設計上認証を必要としない API に起因します。これらには、ログイン、バナーの表示、デバイスの登録のためのインターフェイスが含まれます。

サイクルの推奨事項

Cyble の研究者は、Versa Director インスタンスを保護するために次の緩和策とベストプラクティスを推奨しています。

以上がVersa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

トレンド研究分析：ETHの楽観的予測は、新しいサイクルで10,000ドルですMay 14, 2025 pm 10:51 PM

調査レポート全体が2025年4月24日にリリースされて以来、Trendearchは1,800米ドルから約2,400米ドルに上昇し、1か月で約30％増加しました。調査報告書が書かれた前の予測は、さらに1,450米ドル以上でした。 1,000億の規模の資産目標として、大規模な資金が短期的に高いリターンを達成することはまれな機会です。当時のしっかりと強気の主な理由は次のとおりです。ETHには依然として安定した財務データがあり、暗号化の重要なインフラストラクチャとしてのステータスは変更されていません。短期的な高値は大幅に調整されています（4か月で60％以上の減少）。デリバティブ市場には大きな短いポジションがあり、ボリュームを増やした後、ボトムスポットは重要なサポートとレジスタンススワップエリアに上昇しています。

記号プロトコル（記号）とは何ですか？クロスチェーン検証ネットワークを始めるためのガイドMay 14, 2025 pm 10:48 PM

ブロックチェーンテクノロジーは、人々が価値を交換する方法を変更し、情報を確認し、オンラインで信頼を構築し続けています。分散型のアプリケーションがさまざまな業界で繁栄するにつれて、複数のブロックチェーンで声明とアイデンティティを確認する能力がますます重要で複雑になっています。中央の権限に依存している従来の信頼モデルは、分散型の生態系をサポートするには不十分な場合が多いため、ブロックチェーンネイティブ検証ソリューションの需要も高まっています。 SignProtocol（Sign）は、複数のブロックチェーンネットワークにわたって証明を作成、検証、および管理するためのフレームワークを提供することにより、この課題に対処します。 SignProtocolは、完全なチェーンを作成することを目指しています

BitgetはVoxelトランザクションロールバックを発表します！ユーザーは損失に対して補償されますMay 14, 2025 pm 10:45 PM

Cryptocurrency Exchange Bitgetは最近、ボクセル契約市場の異常な取引変動により、この期間中にトランザクションをロールバックすることを発表し、報酬プランを提案しました。しかし、公式発表で「ユーザーが市場を操作する」という声明の使用は、広報の不適切な取り扱いについて疑問を抱いており、これが危機のさらなる拡大につながることを恐れています。 Bitgetvoxelトークンの異常な取引により、昨日の午前8時から午前8時30分までの内部市場が懸念を引き起こしました。この期間中の取引量はしばらくビットコインを超えていたため、市場は内部運用の透明性に疑問を投げかけました。ボクセルトークンの価格の激しい変動のために事件が発生した後、コミュニティはビットゲットの可能性に疑問を持ち始めました

Kucoin Exchangeとは何ですか？ Kucoin Noviceアカウント登録教育とセキュリティ分析May 14, 2025 pm 10:42 PM

Kucoin Exchangeとは何ですか？ Kucoin ExchangeバックグラウンドKucoin ExchangeブランドストーリーはKucoin Exchangeが安全ですか？ Kucoinアカウント登録教育の最初のステップ：Kucoinアカウントの登録2番目のステップ：ID検証の3番目のステップを完了する：2段階検証とアドオンスクリーニングを開始：Kucoinのユニークな宝石概要Kucoinは、世界のトップ15の暗号通貨交換です。国民全体の取引プラットフォームをコンセプトとして使用し、安全で便利な取引体験を提供します。この記事では、バックグラウンド、セキュリティ、アカウント開設プロセス、およびKucoinのユニークなGEを活用する方法を詳細に確認してください

アルパカ通貨とは何ですか？バイナンスが削除された後、コインの価格が急上昇しました。 $ alpacaの将来の見通しは何ですか？May 14, 2025 pm 10:39 PM

カタログAlpaca Coin最新ニュースと価格の更新Alpacafinance（Alpaca）とは何ですか？ Alpacafinanceはどのように機能しますか？アルパカ通貨とは何ですか？アルパカトークンエコノミクスアルパカ価格動向分析2025アルパカ価格予測アルパカフィナンス（アルパカ）将来の見通しアルパカコインの購入方法？要約Alpacafinance（ALPACA）は、レバレッジド収入農業の特徴を備えたBinance Smart Chainの貸付プロトコルです。 Binanceが5月2日にALから削除されると発表して以来

アーサー・ヘイズ分析：今こそ100,000ドル未満のビットコインのために車に乗る最後のチャンスかもしれませんMay 14, 2025 pm 10:36 PM

Bitmexの創設者であるArthur Hayesは、私たちがよく知っているもので、再び市場で声明を出しました！今回、彼はXプラットフォームで言った：「真剣に、親relative、今では100,000元未満のビットコインを購入する最後のチャンスかもしれない」。過去30時間のビットコインの上昇で、アーサー・ヘイズは次のように投稿しました。 Hayesはまた、「Bbcbazooka」とTreasury Bondの買戻しをテーマに、今週新しい記事をリリースすることを明らかにしました。 Arthurhayesは、ビットコインの価格が90,000元以内に下落した後、価格の下落を予測していますが、今では強気になりました。特定の数字は過去数か月にわたってビットコインの予測を振り返ってください

カルダノ（ADA）2025–2028 10x潜在的な分析：スマート契約プラットフォームの再評価への道May 14, 2025 pm 10:33 PM

カルダノ（ADA）2025〜2028の10倍の潜在的な分析：スマートコントラクトプラットフォームの価値の再評価への道の現在のADA価格は約0.778ドルです。 10倍の成長が達成された場合、将来の潜在的な価格は7.78ドルに達し、市場価値は約2,700億ドルです。この予測はファンタジーではありませんが、技術革新、生態学的拡大、市場の需要などの複数の要因によって駆動されるカルダノの強力な可能性に基づいています。 1。テクノロジーの進捗状況：カルダノのスマートコントラクトプラットフォームPlutu、Vasilがアップグレードして以来、スマートコントラクトとゼロの知識証明の組み合わせ

どんな通貨はswchですか？投資する価値はありますか？ SWCHコインの購入に関する詳細なチュートリアルMay 14, 2025 pm 10:30 PM

暗号通貨市場プロジェクトは、従来の財務慣行を変える目的で、ブロックチェーンの開発により出現しており、スイスチーズもその1つです。 Swisscheeseは、ユーザーがトークン化された株式を取引し、市場アクセスを強化し、取引コストを削減し、より包括的な金融環境への道を開くことを目指している分散型プラットフォームであると理解されています。プラットフォームのネイティブトークンはSWCHであり、その主な機能はトランザクション、ガバナンスなどです。このプロジェクトは、オンラインになった後、投資家の注目をすぐに引き付けましたが、通貨はどの通貨であるかを知っていますか？ SWCHが投資する価値があることを分析できませんか？現在のデータに基づいて、SWCHには特定のものがあります