|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Versa Director 中的漏洞绝非小事,因为该平台管理 Versa SD-WAN 软件的网络配置
A vulnerability in Versa Networks’ Versa Director, used by internet service providers (ISPs) and managed service providers (MSPs) to manage network configurations for Versa’s SD-WAN software, has been disclosed by the Cybersecurity and Infrastructure Security Agency (CISA). The vulnerability, tracked as CVE-2024-45229, is rated 6.6 in severity and affects five versions of the software.
网络安全和基础设施安全局 (CISA) 披露了 Versa Networks Versa Director 中的一个漏洞,互联网服务提供商 (ISP) 和托管服务提供商 (MSP) 使用该软件来管理 Versa SD-WAN 软件的网络配置。该漏洞的编号为 CVE-2024-45229,严重程度为 6.6,影响该软件的五个版本。
Organizations using vulnerable versions are advised to take immediate action to protect their networks by upgrading to a newer version. The advisory follows a high-severity vulnerability last month, CVE-2024-39717, which was used to attack downstream customers in a supply chain attack.
建议使用易受攻击版本的组织立即采取行动,通过升级到新版本来保护其网络。该通报是在上个月出现一个高严重性漏洞 CVE-2024-39717 后发布的,该漏洞被用来在供应链攻击中攻击下游客户。
Cyble’s ODIN scanner currently shows 73 internet-exposed Versa Director instances, though it is not clear how many of them contain the latest vulnerability.
Cyble 的 ODIN 扫描器当前显示了 73 个暴露在互联网上的 Versa Director 实例,但尚不清楚其中有多少包含最新漏洞。
Versa Director Flaw Leads to API Exploit
Versa Director 缺陷导致 API 被利用
Versa Director’s REST APIs are designed to facilitate automation and streamline operations through a unified interface, enabling IT teams to configure and monitor their network systems more efficiently. However, a flaw in the implementation of these APIs allows for improper input validation, Cyble threat intelligence researchers explained in a blog post.
Versa Director 的 REST API 旨在通过统一的界面促进自动化和简化操作,使 IT 团队能够更有效地配置和监控其网络系统。然而,Cyble 威胁情报研究人员在博客文章中解释说,这些 API 的实现中存在缺陷,导致输入验证不当。
The APIs in question are designed to not require authentication by default, making them accessible to anyone with network connectivity. An attacker could exploit this vulnerability by sending a specially crafted GET request to a Versa Director instance that is directly connected to the internet.
这些 API 的设计默认不需要身份验证,任何有网络连接的人都可以访问它们。攻击者可以通过向直接连接到互联网的 Versa Director 实例发送特制的 GET 请求来利用此漏洞。
“For Versa Directors connected directly to the Internet, attackers could potentially exploit this vulnerability by injecting invalid arguments into a GET request,” Cyble said. “This could expose authentication tokens of currently logged-in users, which can then be used to access additional APIs on port 9183.”
Cyble 表示:“对于直接连接到互联网的 Versa 控制器,攻击者可能会通过向 GET 请求中注入无效参数来利用此漏洞。” “这可能会暴露当前登录用户的身份验证令牌,然后可以使用该令牌访问端口 9183 上的其他 API。”
While the exploit itself does not reveal user credentials, “the implications of token exposure could lead to broader security breaches.”
虽然该漏洞本身不会泄露用户凭据,但“令牌暴露的影响可能会导致更广泛的安全漏洞。”
“The exposure of these tokens can allow attackers to access additional APIs,” Cyble said. “Such unauthorized access could facilitate broader security breaches, potentially impacting sensitive data and operational integrity.”
Cyble 表示:“这些代币的暴露可以让攻击者访问其他 API。” “这种未经授权的访问可能会导致更广泛的安全漏洞,可能会影响敏感数据和操作完整性。”
Versa suggests that a web application firewall (WAF) or API gateway could be used to protect internet-exposed Versa Director instances by blocking access to the URLs of the vulnerable APIs (/vnms/devicereg/device/* on ports 9182 and 9183 and /versa/vnms/devicereg/device/* on port 443).
Versa 建议使用 Web 应用程序防火墙 (WAF) 或 API 网关,通过阻止访问易受攻击的 API 的 URL(端口 9182 和 9183 上的 /vnms/devicereg/device/* 和 /反之亦然/vnms/devicereg/device/* 在端口 443 上)。
Affected Versa Director Versions
受影响的 Versa Director 版本
The vulnerability affects multiple versions of Versa Director, specifically those released before Sept. 9, 2024. This includes versions 22.1.4, 22.1.3, and 22.1.2, as well as all versions of 22.1.1, 21.2.3, and 21.2.2.
该漏洞影响 Versa Director 的多个版本,特别是 2024 年 9 月 9 日之前发布的版本。其中包括版本 22.1.4、22.1.3 和 22.1.2,以及 22.1.1、21.2.3 和 22.1.3 的所有版本。 21.2.2.
Versions released on Sept. 12 and later contain a hot fix for the vulnerability.
9月12日及之后发布的版本包含针对该漏洞的热修复。
The flaw primarily stems from APIs that, by design, do not require authentication. These include interfaces for logging in, displaying banners, and registering devices.
该缺陷主要源于 API 在设计上不需要身份验证。其中包括用于登录、显示横幅和注册设备的界面。
Cyble Recommendations
循环推荐
Cyble researchers recommend the following mitigations and best practices for protecting Versa Director instances:
Cyble 研究人员建议采用以下缓解措施和最佳实践来保护 Versa Director 实例:
免责声明:info@kdj.com
所提供的信息并非交易建议。根据本文提供的信息进行的任何投资,kdj.com不承担任何责任。加密货币具有高波动性,强烈建议您深入研究后,谨慎投资!
如您认为本网站上使用的内容侵犯了您的版权,请立即联系我们(info@kdj.com),我们将及时删除。
-
- CET:CoinEx加密货币交易所的原生代币
- 2024-09-25 10:30:02
- CET 是领先的加密货币交易所之一 CoinEx 的原生代币。它是2018年推出的基于以太坊网络的ERC-20代币。
-
- 市场分析师大师 Kenobi 预测,狗狗币 ($DOGE) 将于今年 12 月触及 1 美元
- 2024-09-25 10:25:01
- 当前美联储(Fed)降息的早期后果对最终的加密货币业务具有建设性,因为像狗狗币这样的主要资产一直表现出乐观情绪。
-
- IMX 代币价格预测:能否突破 2 美元阻力位并反弹至更高水平?
- 2024-09-25 10:25:01
- 在过去的 24 小时内,IMX 的股价上涨了 12.14%,达到 1.81 美元。这种上涨引发了人们对该代币能否突破 2 美元关键阻力位的猜测。
-
- 如何在 Marvel Vs. 中玩本地多人游戏卡普空格斗合集:街机经典
- 2024-09-25 10:15:01
- 此合辑中没有单独的对战模式。这些街机经典游戏的设计有一个主要模式,您可以在其中喂食硬币来与 CPU 碰碰运气。
-
- 比特币(BTC)市场价值与已实现价值(MVRV)比率暗示即将发生动能转变
- 2024-09-25 10:15:01
- 自美国宣布降息以来,比特币价格逐渐反弹。该加密货币于 9 月 23 日飙升至超过 64,000 美元的峰值,上周价值上涨 8.5%。
-
- Bitget 宣布在 Hamster Kombat 代币上市前举办价格预测竞赛
- 2024-09-25 10:15:01
- 该竞赛邀请参与者预测 HMSTR 代币交易前 24 小时内的最高价格。如果比赛的获胜者的预测最接近实际价格,他们将获得 100 美元的 HMSTR 代币。
-
- Solana (SOL) 盘整突破后准备大幅上涨,目标为 165 美元
- 2024-09-25 10:15:01
- 市值第五大加密货币 Solana (SOL) 似乎看涨,并准备在盘整突破后大幅上涨。
-
- RCO Finance:雷达下的卡尔达诺 (ADA) 替代方案
- 2024-09-25 10:15:01
- 在卡尔达诺(ADA)的不确定性中,RCO Finance 为投资者提供了对冲投资并获得可观回报的绝佳机会。
-
- EverValue 宣布即将预售其 EVA 代币,将比特币支持的稳定性与创新功能相结合
- 2024-09-25 10:15:01
- 与传统平台不同,EverValue 允许投资者保持对其代币的完全控制,而无需依赖第三方存储解决方案。