Versa Director 결함, API 악용으로 이어져 SD-WAN 고객에게 영향

Versa Director의 취약점은 플랫폼이 Versa의 SD-WAN 소프트웨어에 대한 네트워크 구성을 관리하기 때문에 결코 작은 문제가 아닙니다.

A vulnerability in Versa Networks’ Versa Director, used by internet service providers (ISPs) and managed service providers (MSPs) to manage network configurations for Versa’s SD-WAN software, has been disclosed by the Cybersecurity and Infrastructure Security Agency (CISA). The vulnerability, tracked as CVE-2024-45229, is rated 6.6 in severity and affects five versions of the software.

인터넷 서비스 제공업체(ISP)와 관리형 서비스 제공업체(MSP)가 Versa SD-WAN 소프트웨어의 네트워크 구성을 관리하는 데 사용하는 Versa Networks Versa Director의 취약점이 CISA(사이버보안 및 인프라 보안 기관)에 의해 공개되었습니다. CVE-2024-45229로 추적되는 이 취약점은 심각도가 6.6이며 소프트웨어의 5개 버전에 영향을 미칩니다.

Organizations using vulnerable versions are advised to take immediate action to protect their networks by upgrading to a newer version. The advisory follows a high-severity vulnerability last month, CVE-2024-39717, which was used to attack downstream customers in a supply chain attack.

취약한 버전을 사용하는 조직은 최신 버전으로 업그레이드하여 네트워크를 보호하기 위한 즉각적인 조치를 취하는 것이 좋습니다. 이 권고는 지난달 공급망 공격에서 다운스트림 고객을 공격하는 데 사용된 심각도가 높은 취약점인 CVE-2024-39717에 이어 이루어졌습니다.

Cyble’s ODIN scanner currently shows 73 internet-exposed Versa Director instances, though it is not clear how many of them contain the latest vulnerability.

Cyble의 ODIN 스캐너는 현재 인터넷에 노출된 Versa Director 인스턴스 73개를 보여주지만, 그 중 얼마나 많은 수가 최신 취약점을 포함하고 있는지는 확실하지 않습니다.

Versa Director Flaw Leads to API Exploit

Versa Director 결함으로 인해 API 악용 발생

Versa Director’s REST APIs are designed to facilitate automation and streamline operations through a unified interface, enabling IT teams to configure and monitor their network systems more efficiently. However, a flaw in the implementation of these APIs allows for improper input validation, Cyble threat intelligence researchers explained in a blog post.

Versa Director의 REST API는 통합 인터페이스를 통해 자동화를 촉진하고 운영을 간소화하도록 설계되어 IT 팀이 네트워크 시스템을 보다 효율적으로 구성하고 모니터링할 수 있습니다. 그러나 이러한 API 구현의 결함으로 인해 부적절한 입력 유효성 검사가 가능하다고 Cyble 위협 인텔리전스 연구원들이 블로그 게시물에서 설명했습니다.

The APIs in question are designed to not require authentication by default, making them accessible to anyone with network connectivity. An attacker could exploit this vulnerability by sending a specially crafted GET request to a Versa Director instance that is directly connected to the internet.

문제의 API는 기본적으로 인증을 요구하지 않도록 설계되어 네트워크에 연결된 모든 사람이 액세스할 수 있습니다. 공격자는 인터넷에 직접 연결된 Versa Director 인스턴스에 특별히 제작된 GET 요청을 보내 이 취약점을 악용할 수 있습니다.

“For Versa Directors connected directly to the Internet, attackers could potentially exploit this vulnerability by injecting invalid arguments into a GET request,” Cyble said. “This could expose authentication tokens of currently logged-in users, which can then be used to access additional APIs on port 9183.”

Cyble은 “인터넷에 직접 연결된 Versa Director의 경우 공격자가 GET 요청에 잘못된 인수를 삽입하여 이 취약점을 잠재적으로 악용할 수 있습니다.”라고 말했습니다. “이렇게 하면 현재 로그인한 사용자의 인증 토큰이 노출될 수 있으며, 이 토큰은 포트 9183에서 추가 API에 액세스하는 데 사용될 수 있습니다.”

While the exploit itself does not reveal user credentials, “the implications of token exposure could lead to broader security breaches.”

익스플로잇 자체는 사용자 자격 증명을 공개하지 않지만 "토큰 노출로 인해 더 광범위한 보안 위반이 발생할 수 있습니다."

“The exposure of these tokens can allow attackers to access additional APIs,” Cyble said. “Such unauthorized access could facilitate broader security breaches, potentially impacting sensitive data and operational integrity.”

Cyble은 "이러한 토큰이 노출되면 공격자가 추가 API에 액세스할 수 있습니다."라고 말했습니다. "이러한 무단 액세스는 광범위한 보안 침해를 촉진하여 잠재적으로 민감한 데이터와 운영 무결성에 영향을 미칠 수 있습니다."

Versa suggests that a web application firewall (WAF) or API gateway could be used to protect internet-exposed Versa Director instances by blocking access to the URLs of the vulnerable APIs (/vnms/devicereg/device/* on ports 9182 and 9183 and /versa/vnms/devicereg/device/* on port 443).

Versa는 웹 애플리케이션 방화벽(WAF) 또는 API 게이트웨이를 사용하여 취약한 API의 URL(포트 9182 및 9183의 /vnms/devicereg/device/* 및/)에 대한 액세스를 차단함으로써 인터넷에 노출된 Versa Director 인스턴스를 보호할 수 있다고 제안합니다. Versa/vnms/devicereg/device/*(포트 443).

Affected Versa Director Versions

영향을 받는 Versa Director 버전

The vulnerability affects multiple versions of Versa Director, specifically those released before Sept. 9, 2024. This includes versions 22.1.4, 22.1.3, and 22.1.2, as well as all versions of 22.1.1, 21.2.3, and 21.2.2.

이 취약점은 Versa Director의 여러 버전, 특히 2024년 9월 9일 이전에 출시된 버전에 영향을 미칩니다. 여기에는 버전 22.1.4, 22.1.3 및 22.1.2뿐만 아니라 22.1.1, 21.2.3 및 22.1.1, 21.2.3 및 22.1.3의 모든 버전이 포함됩니다. 21.2.2.

Versions released on Sept. 12 and later contain a hot fix for the vulnerability.

9월 12일 이후에 출시된 버전에는 취약점에 대한 핫픽스가 포함되어 있습니다.

The flaw primarily stems from APIs that, by design, do not require authentication. These include interfaces for logging in, displaying banners, and registering devices.

이 결함은 주로 설계상 인증이 필요하지 않은 API에서 발생합니다. 여기에는 로그인, 배너 표시, 장치 등록을 위한 인터페이스가 포함됩니다.

Cyble Recommendations

사이블 추천

Cyble researchers recommend the following mitigations and best practices for protecting Versa Director instances:

Cyble 연구원은 Versa Director 인스턴스를 보호하기 위해 다음과 같은 완화 방법과 모범 사례를 권장합니다.