Une faille de Versa Director conduit à une exploitation d'API et affecte les clients SD-WAN

Les vulnérabilités de Versa Director ne sont jamais une mince affaire, car la plateforme gère les configurations réseau du logiciel SD-WAN de Versa.

A vulnerability in Versa Networks’ Versa Director, used by internet service providers (ISPs) and managed service providers (MSPs) to manage network configurations for Versa’s SD-WAN software, has been disclosed by the Cybersecurity and Infrastructure Security Agency (CISA). The vulnerability, tracked as CVE-2024-45229, is rated 6.6 in severity and affects five versions of the software.

Une vulnérabilité dans Versa Director de Versa Networks, utilisée par les fournisseurs de services Internet (FAI) et les fournisseurs de services gérés (MSP) pour gérer les configurations réseau du logiciel SD-WAN de Versa, a été divulguée par la Cybersecurity and Infrastructure Security Agency (CISA). La vulnérabilité, identifiée comme CVE-2024-45229, a une gravité de 6,6 et affecte cinq versions du logiciel.

Organizations using vulnerable versions are advised to take immediate action to protect their networks by upgrading to a newer version. The advisory follows a high-severity vulnerability last month, CVE-2024-39717, which was used to attack downstream customers in a supply chain attack.

Il est conseillé aux organisations utilisant des versions vulnérables de prendre des mesures immédiates pour protéger leurs réseaux en effectuant une mise à niveau vers une version plus récente. L'avis fait suite à une vulnérabilité de haute gravité le mois dernier, CVE-2024-39717, qui a été utilisée pour attaquer les clients en aval lors d'une attaque de la chaîne d'approvisionnement.

Cyble’s ODIN scanner currently shows 73 internet-exposed Versa Director instances, though it is not clear how many of them contain the latest vulnerability.

Le scanner ODIN de Cyble affiche actuellement 73 instances Versa Director exposées sur Internet, bien qu'il ne soit pas clair combien d'entre elles contiennent la dernière vulnérabilité.

Versa Director Flaw Leads to API Exploit

Une faille de Versa Director conduit à un exploit d'API

Versa Director’s REST APIs are designed to facilitate automation and streamline operations through a unified interface, enabling IT teams to configure and monitor their network systems more efficiently. However, a flaw in the implementation of these APIs allows for improper input validation, Cyble threat intelligence researchers explained in a blog post.

Les API REST de Versa Director sont conçues pour faciliter l'automatisation et rationaliser les opérations via une interface unifiée, permettant aux équipes informatiques de configurer et de surveiller leurs systèmes réseau plus efficacement. Cependant, une faille dans la mise en œuvre de ces API permet une validation incorrecte des entrées, ont expliqué les chercheurs de Cyble en matière de renseignements sur les menaces dans un article de blog.

The APIs in question are designed to not require authentication by default, making them accessible to anyone with network connectivity. An attacker could exploit this vulnerability by sending a specially crafted GET request to a Versa Director instance that is directly connected to the internet.

Les API en question sont conçues pour ne pas nécessiter d'authentification par défaut, ce qui les rend accessibles à toute personne disposant d'une connectivité réseau. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête GET spécialement conçue à une instance Versa Director directement connectée à Internet.

“For Versa Directors connected directly to the Internet, attackers could potentially exploit this vulnerability by injecting invalid arguments into a GET request,” Cyble said. “This could expose authentication tokens of currently logged-in users, which can then be used to access additional APIs on port 9183.”

"Pour les directeurs Versa connectés directement à Internet, les attaquants pourraient potentiellement exploiter cette vulnérabilité en injectant des arguments non valides dans une requête GET", a déclaré Cyble. "Cela pourrait exposer les jetons d'authentification des utilisateurs actuellement connectés, qui pourraient ensuite être utilisés pour accéder à des API supplémentaires sur le port 9183."

While the exploit itself does not reveal user credentials, “the implications of token exposure could lead to broader security breaches.”

Bien que l’exploit lui-même ne révèle pas les informations d’identification de l’utilisateur, « les implications de l’exposition des jetons pourraient conduire à des failles de sécurité plus larges ».

“The exposure of these tokens can allow attackers to access additional APIs,” Cyble said. “Such unauthorized access could facilitate broader security breaches, potentially impacting sensitive data and operational integrity.”

"L'exposition de ces jetons peut permettre aux attaquants d'accéder à des API supplémentaires", a déclaré Cyble. « Un tel accès non autorisé pourrait faciliter des violations de sécurité plus larges, affectant potentiellement les données sensibles et l'intégrité opérationnelle. »

Versa suggests that a web application firewall (WAF) or API gateway could be used to protect internet-exposed Versa Director instances by blocking access to the URLs of the vulnerable APIs (/vnms/devicereg/device/* on ports 9182 and 9183 and /versa/vnms/devicereg/device/* on port 443).

Versa suggère qu'un pare-feu d'application Web (WAF) ou une passerelle API pourrait être utilisé pour protéger les instances Versa Director exposées à Internet en bloquant l'accès aux URL des API vulnérables (/vnms/devicereg/device/* sur les ports 9182 et 9183 et / versa/vnms/devicereg/device/* sur le port 443).

Affected Versa Director Versions

Versions Versa Director concernées

The vulnerability affects multiple versions of Versa Director, specifically those released before Sept. 9, 2024. This includes versions 22.1.4, 22.1.3, and 22.1.2, as well as all versions of 22.1.1, 21.2.3, and 21.2.2.

La vulnérabilité affecte plusieurs versions de Versa Director, en particulier celles publiées avant le 9 septembre 2024. Cela inclut les versions 22.1.4, 22.1.3 et 22.1.2, ainsi que toutes les versions 22.1.1, 21.2.3 et 21.2.2.

Versions released on Sept. 12 and later contain a hot fix for the vulnerability.

Les versions publiées le 12 septembre et les versions ultérieures contiennent un correctif pour la vulnérabilité.

The flaw primarily stems from APIs that, by design, do not require authentication. These include interfaces for logging in, displaying banners, and registering devices.

La faille provient principalement des API qui, de par leur conception, ne nécessitent pas d'authentification. Ceux-ci incluent des interfaces pour se connecter, afficher des bannières et enregistrer des appareils.

Cyble Recommendations

Recommandations de vélo

Cyble researchers recommend the following mitigations and best practices for protecting Versa Director instances:

Les chercheurs de Cyble recommandent les mesures d'atténuation et les meilleures pratiques suivantes pour protéger les instances Versa Director :