Versa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響

Versa Director は Versa の SD-WAN ソフトウェアのネットワーク構成を管理するため、Versa Director の脆弱性は決して小さな問題ではありません。

A vulnerability in Versa Networks’ Versa Director, used by internet service providers (ISPs) and managed service providers (MSPs) to manage network configurations for Versa’s SD-WAN software, has been disclosed by the Cybersecurity and Infrastructure Security Agency (CISA). The vulnerability, tracked as CVE-2024-45229, is rated 6.6 in severity and affects five versions of the software.

インターネット サービス プロバイダー (ISP) およびマネージド サービス プロバイダー (MSP) が Versa SD-WAN ソフトウェアのネットワーク構成を管理するために使用する Versa Networks の Versa Director の脆弱性が、サイバーセキュリティ・インフラストラクチャ セキュリティ庁 (CISA) によって公開されました。この脆弱性は CVE-2024-45229 として追跡され、重大度は 6.6 と評価されており、ソフトウェアの 5 つのバージョンに影響します。

Organizations using vulnerable versions are advised to take immediate action to protect their networks by upgrading to a newer version. The advisory follows a high-severity vulnerability last month, CVE-2024-39717, which was used to attack downstream customers in a supply chain attack.

脆弱なバージョンを使用している組織は、新しいバージョンにアップグレードしてネットワークを保護するための措置を直ちに講じることをお勧めします。このアドバイザリは、サプライ チェーン攻撃で下流の顧客を攻撃するために使用された、先月発生した重大度の高い脆弱性 CVE-2024-39717 に続くものです。

Cyble’s ODIN scanner currently shows 73 internet-exposed Versa Director instances, though it is not clear how many of them contain the latest vulnerability.

Cyble の ODIN スキャナーでは現在、インターネットに公開されている 73 個の Versa Director インスタンスが表示されていますが、そのうちの何個に最新の脆弱性が含まれているかは不明です。

Versa Director Flaw Leads to API Exploit

Versa Director の欠陥が API エクスプロイトにつながる

Versa Director’s REST APIs are designed to facilitate automation and streamline operations through a unified interface, enabling IT teams to configure and monitor their network systems more efficiently. However, a flaw in the implementation of these APIs allows for improper input validation, Cyble threat intelligence researchers explained in a blog post.

Versa Director の REST API は、統合インターフェイスを通じて自動化を促進し、運用を合理化するように設計されており、IT チームがネットワーク システムをより効率的に構成および監視できるようになります。ただし、これらの API の実装に欠陥があるため、不適切な入力検証が可能になると、Cyble 脅威インテリジェンスの研究者がブログ投稿で説明しました。

The APIs in question are designed to not require authentication by default, making them accessible to anyone with network connectivity. An attacker could exploit this vulnerability by sending a specially crafted GET request to a Versa Director instance that is directly connected to the internet.

問題の API は、デフォルトでは認証を必要としないように設計されており、ネットワーク接続があれば誰でもアクセスできます。攻撃者は、インターネットに直接接続されている Versa Director インスタンスに特別に作成した GET リクエストを送信することにより、この脆弱性を悪用する可能性があります。

“For Versa Directors connected directly to the Internet, attackers could potentially exploit this vulnerability by injecting invalid arguments into a GET request,” Cyble said. “This could expose authentication tokens of currently logged-in users, which can then be used to access additional APIs on port 9183.”

「インターネットに直接接続されている Versa Director の場合、攻撃者は GET リクエストに無効な引数を挿入することで、この脆弱性を悪用する可能性があります」と Cyble 氏は述べています。 「これにより、現在ログインしているユーザーの認証トークンが公開され、ポート 9183 で追加の API にアクセスするために使用される可能性があります。」

While the exploit itself does not reveal user credentials, “the implications of token exposure could lead to broader security breaches.”

このエクスプロイト自体はユーザーの資格情報を明らかにするものではありませんが、「トークンの漏洩の影響により、より広範なセキュリティ侵害につながる可能性があります。」

“The exposure of these tokens can allow attackers to access additional APIs,” Cyble said. “Such unauthorized access could facilitate broader security breaches, potentially impacting sensitive data and operational integrity.”

「これらのトークンが公開されると、攻撃者が追加の API にアクセスできるようになる可能性があります」と Cyble 氏は述べています。 「このような不正アクセスは広範なセキュリティ侵害を助長し、機密データや運用の完全性に影響を与える可能性があります。」

Versa suggests that a web application firewall (WAF) or API gateway could be used to protect internet-exposed Versa Director instances by blocking access to the URLs of the vulnerable APIs (/vnms/devicereg/device/* on ports 9182 and 9183 and /versa/vnms/devicereg/device/* on port 443).

Versa は、Web アプリケーション ファイアウォール (WAF) または API ゲートウェイを使用して、脆弱な API の URL (ポート 9182 および 9183 の /vnms/devicereg/device/* および /ポート 443 上の versa/vnms/devicereg/device/*)。

Affected Versa Director Versions

影響を受ける Versa Director のバージョン

The vulnerability affects multiple versions of Versa Director, specifically those released before Sept. 9, 2024. This includes versions 22.1.4, 22.1.3, and 22.1.2, as well as all versions of 22.1.1, 21.2.3, and 21.2.2.

この脆弱性は、Versa Director の複数のバージョン、特に 2024 年 9 月 9 日より前にリリースされたバージョンに影響します。これには、バージョン 22.1.4、22.1.3、および 22.1.2、および 22.1.1、21.2.3、および21.2.2.

Versions released on Sept. 12 and later contain a hot fix for the vulnerability.

9 月 12 日以降にリリースされたバージョンには、この脆弱性に対するホットフィックスが含まれています。

The flaw primarily stems from APIs that, by design, do not require authentication. These include interfaces for logging in, displaying banners, and registering devices.

この欠陥は主に、設計上認証を必要としない API に起因しています。これらには、ログイン、バナーの表示、デバイスの登録のためのインターフェイスが含まれます。

Cyble Recommendations

自転車の推奨事項

Cyble researchers recommend the following mitigations and best practices for protecting Versa Director instances:

Cyble の研究者は、Versa Director インスタンスを保護するために次の緩和策とベスト プラクティスを推奨しています。