Versa Networks обяви кръпки за уязвимост в платформата за виртуализация и създаване на услуги Versa Director, като предупреди, че съществува код за доказване на концепцията (PoC) за нея.
Проследена като CVE-2024-45229 (CVSS оценка 6,6), уязвимостта е свързана с REST API във Versa Director, който се използва за оркестриране и управление, и може да доведе до разкриване на токени за удостоверяване.
Някои от тези API, включително използваните за екрана за вход, показването на банери и регистрацията на устройства, не изискват удостоверяване по подразбиране.
„Въпреки това беше установено, че за Versa Director, които са директно свързани с интернет, един от тези API може да бъде използван чрез инжектиране на невалидни аргументи в заявка GET, което потенциално излага на риск токените за удостоверяване на други потребители, които в момента са влезли в системата“, обяснява Versa в консултативния документ.
Нападател, който е в състояние да получи токените на други потребители, може след това да ги използва, за да извика допълнителни API на порт 9183, обяснява компанията за управление на мрежи.
Versa отбелязва, че уязвимостта не може да бъде използвана за разкриване на потребителски имена и пароли и че ако Versa Director е разположен зад защитна стена или API шлюз, решението за сигурност „може да бъде използвано за блокиране на достъпа до URL адресите на уязвимите API“.
„Тази уязвимост не може да бъде използвана на Versa Director, които не са изложени към интернет. Потвърдихме, че нито един главен сървър, хостван от Versa, не е бил засегнат от тази уязвимост“, твърди компанията.
Versa пусна горещи поправки за версиите на Director 22.1.4, 22.1.3, 22.1.2 и 21.2.3 и препоръчва на всички потребители да актуализират до най-новите версии възможно най-скоро. Тези, които използват версии на Director 22.1.1 и 21.2.2, трябва да преминат към поправените версии 22.1.3 и 21.2.3.
„Versa Networks не е запозната с тази експлоатация в нито една производствена система. Доказателство за концепцията съществува в лабораторна среда“, казват от компанията.
В петък американската агенция за киберсигурност CISA обърна внимание на препоръката на Versa, като призова организациите да прилагат необходимите актуализации и да издирват всякаква злонамерена дейност в своите среди.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.