Versa Director-Fehler führt zu API-Exploit und betrifft SD-WAN-Kunden

Schwachstellen in Versa Director sind keine Kleinigkeit, da die Plattform Netzwerkkonfigurationen für die SD-WAN-Software von Versa verwaltet

A vulnerability in Versa Networks’ Versa Director, used by internet service providers (ISPs) and managed service providers (MSPs) to manage network configurations for Versa’s SD-WAN software, has been disclosed by the Cybersecurity and Infrastructure Security Agency (CISA). The vulnerability, tracked as CVE-2024-45229, is rated 6.6 in severity and affects five versions of the software.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Schwachstelle im Versa Director von Versa Networks offengelegt, der von Internetdienstanbietern (ISPs) und Managed Service Providern (MSPs) zur Verwaltung von Netzwerkkonfigurationen für die SD-WAN-Software von Versa verwendet wird. Die Schwachstelle mit der Bezeichnung CVE-2024-45229 hat einen Schweregrad von 6,6 und betrifft fünf Versionen der Software.

Organizations using vulnerable versions are advised to take immediate action to protect their networks by upgrading to a newer version. The advisory follows a high-severity vulnerability last month, CVE-2024-39717, which was used to attack downstream customers in a supply chain attack.

Organisationen, die anfällige Versionen verwenden, wird empfohlen, sofort Maßnahmen zum Schutz ihrer Netzwerke zu ergreifen, indem sie ein Upgrade auf eine neuere Version durchführen. Das Advisory folgt einer hochgradigen Sicherheitslücke im letzten Monat, CVE-2024-39717, die dazu genutzt wurde, nachgelagerte Kunden im Rahmen eines Supply-Chain-Angriffs anzugreifen.

Cyble’s ODIN scanner currently shows 73 internet-exposed Versa Director instances, though it is not clear how many of them contain the latest vulnerability.

Der ODIN-Scanner von Cyble zeigt derzeit 73 im Internet exponierte Versa Director-Instanzen an, es ist jedoch nicht klar, wie viele davon die neueste Schwachstelle enthalten.

Versa Director Flaw Leads to API Exploit

Versa Director-Fehler führt zu API-Exploit

Versa Director’s REST APIs are designed to facilitate automation and streamline operations through a unified interface, enabling IT teams to configure and monitor their network systems more efficiently. However, a flaw in the implementation of these APIs allows for improper input validation, Cyble threat intelligence researchers explained in a blog post.

Die REST-APIs von Versa Director sind darauf ausgelegt, die Automatisierung zu erleichtern und Abläufe über eine einheitliche Schnittstelle zu rationalisieren, sodass IT-Teams ihre Netzwerksysteme effizienter konfigurieren und überwachen können. Ein Fehler in der Implementierung dieser APIs ermöglicht jedoch eine unsachgemäße Eingabevalidierung, erklärten die Threat-Intelligence-Forscher von Cyble in einem Blogbeitrag.

The APIs in question are designed to not require authentication by default, making them accessible to anyone with network connectivity. An attacker could exploit this vulnerability by sending a specially crafted GET request to a Versa Director instance that is directly connected to the internet.

Die betreffenden APIs sind so konzipiert, dass standardmäßig keine Authentifizierung erforderlich ist, sodass sie für jeden mit Netzwerkverbindung zugänglich sind. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete GET-Anfrage an eine Versa Director-Instanz sendet, die direkt mit dem Internet verbunden ist.

“For Versa Directors connected directly to the Internet, attackers could potentially exploit this vulnerability by injecting invalid arguments into a GET request,” Cyble said. “This could expose authentication tokens of currently logged-in users, which can then be used to access additional APIs on port 9183.”

„Bei Versa Directors, die direkt mit dem Internet verbunden sind, könnten Angreifer diese Schwachstelle möglicherweise ausnutzen, indem sie ungültige Argumente in eine GET-Anfrage einfügen“, sagte Cyble. „Dadurch könnten Authentifizierungstoken aktuell angemeldeter Benutzer offengelegt werden, die dann für den Zugriff auf zusätzliche APIs auf Port 9183 verwendet werden können.“

While the exploit itself does not reveal user credentials, “the implications of token exposure could lead to broader security breaches.”

Während der Exploit selbst keine Benutzeranmeldeinformationen preisgibt, „könnten die Auswirkungen der Token-Offenlegung zu umfassenderen Sicherheitsverletzungen führen.“

“The exposure of these tokens can allow attackers to access additional APIs,” Cyble said. “Such unauthorized access could facilitate broader security breaches, potentially impacting sensitive data and operational integrity.”

„Die Offenlegung dieser Token kann Angreifern den Zugriff auf zusätzliche APIs ermöglichen“, sagte Cyble. „Ein solcher unbefugter Zugriff könnte umfassendere Sicherheitsverletzungen begünstigen und möglicherweise sensible Daten und die betriebliche Integrität beeinträchtigen.“

Versa suggests that a web application firewall (WAF) or API gateway could be used to protect internet-exposed Versa Director instances by blocking access to the URLs of the vulnerable APIs (/vnms/devicereg/device/* on ports 9182 and 9183 and /versa/vnms/devicereg/device/* on port 443).

Versa schlägt vor, dass eine Web Application Firewall (WAF) oder ein API-Gateway verwendet werden könnte, um dem Internet ausgesetzte Versa Director-Instanzen zu schützen, indem der Zugriff auf die URLs der anfälligen APIs (/vnms/devicereg/device/* auf den Ports 9182 und 9183 und /) blockiert wird. versa/vnms/devicereg/device/* auf Port 443).

Affected Versa Director Versions

Betroffene Versa Director-Versionen

The vulnerability affects multiple versions of Versa Director, specifically those released before Sept. 9, 2024. This includes versions 22.1.4, 22.1.3, and 22.1.2, as well as all versions of 22.1.1, 21.2.3, and 21.2.2.

Die Sicherheitslücke betrifft mehrere Versionen von Versa Director, insbesondere solche, die vor dem 9. September 2024 veröffentlicht wurden. Dazu gehören die Versionen 22.1.4, 22.1.3 und 22.1.2 sowie alle Versionen von 22.1.1, 21.2.3 und 21.2.2.

Versions released on Sept. 12 and later contain a hot fix for the vulnerability.

Die am 12. September und später veröffentlichten Versionen enthalten einen Hotfix für die Schwachstelle.

The flaw primarily stems from APIs that, by design, do not require authentication. These include interfaces for logging in, displaying banners, and registering devices.

Der Fehler ist hauptsächlich auf APIs zurückzuführen, die konstruktionsbedingt keine Authentifizierung erfordern. Dazu gehören Schnittstellen zum Login, zur Anzeige von Bannern und zur Registrierung von Geräten.

Cyble Recommendations

Cyble-Empfehlungen

Cyble researchers recommend the following mitigations and best practices for protecting Versa Director instances:

Cyble-Forscher empfehlen die folgenden Abhilfemaßnahmen und Best Practices zum Schutz von Versa Director-Instanzen: