Versa Networksは、Versa Director GUIの無制限ファイルアップロードの欠陥を悪用し、攻撃者が悪意のあるファイルをアップロードできるゼロデイ脆弱性を修正しました。
Versa Directorは、マネージド・サービス・プロバイダーがSASEサービスの設計、自動化、提供を簡素化できるように設計されたプラットフォームで、Versa SASEのネットワーキングとセキュリティ機能に不可欠な管理、監視、オーケストレーションを提供します。
Versa社は、このソフトウェアの「ファビコンの変更」機能に深刻度の高い脆弱性(CVE-2024-39717)とタグ付けし、管理者権限を持つ脅威行為者がPNG画像に偽装した悪意のあるファイルをアップロードすることを可能にしています。
「この脆弱性により、Provider-Data-Center-AdminまたはProvider-Data-Center-System-Adminの権限を持つユーザーによって、潜在的に悪意のあるファイルがアップロードされる可能性があります。
「影響を受けた顧客は、上記のシステムハードニングとファイアウォールガイドラインの実装を怠ったため、管理ポートがインターネット上に露出したままとなり、脅威行為者に最初のアクセスを提供してしまった。
Versaによると、CVE-2024-39717は、システムハードニング要件と ファイアウォールガイドライン(2017年と2015年から利用可能)を実装していない顧客にのみ影響を与える。
Versaによると、7月26日にパートナーや顧客にVersaコンポーネントのファイアウォール要件を見直すよう警告し、8月9日に攻撃で悪用されたこのゼロデイ脆弱性について通知したという。
APT行為者に「少なくとも」1度悪用される
同社によると、この脆弱性は “Advanced Persistent Threat”(APT)行為者によって「少なくとも」1回の攻撃で悪用されたという。
Versaは顧客に対し、攻撃をブロックするためにハードニング対策を適用し、Versa Directorのインストールを最新バージョンにアップグレードするようアドバイスしている。顧客は、/var/versa/vnms/web/custom_logo/フォルダに不審なファイルがアップロードされていないか検査することで、自分の環境で脆弱性が悪用されているかどうかを確認することができる。
サイバーセキュリティとインフラセキュリティ機関(CISA)も金曜日に、このゼロデイを既知の脆弱性(KEV)カタログに追加した。2021年11月の拘束力のある運用指令(BOD 22-01)で義務付けられているように、連邦政府機関は9月13日までにネットワーク上の脆弱なVersa Directorインスタンスを保護しなければならない。
CISAは、「この種の脆弱性は、悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」と警告している。
バーサネットワークスはセキュア・アクセス・サービス・エッジ(SASE)ベンダーで、大企業(アドビ、サムスン、ベライゾン、ヴァージン・メディア、コムキャスト・ビジネス、オレンジ・ビジネス、キャピタル・ワン、バークレイズなど)や世界120以上のサービス・プロバイダーを含む数千の顧客、数百万のユーザーにサービスを提供している。
Comments