Versa Director sunucularındaki sıfır günlük bir güvenlik açığı, bir güvenlik açığının önemli bir hasara yol açması için kritik önem derecesine ve binlerce kez açığa çıkmaya ihtiyaç duymadığının kanıtıdır.
Geçtiğimiz hafta duyurulan CVE-2024-39717, NIST Ulusal Güvenlik Açığı Veritabanı’ndan (NVD) 7.2 (yüksek) CVSS derecesi ve HackerOne’dan 6.6 (orta) derecesi alıyor.
Dahası, Cyble’ın ODIN güvenlik açığı tarama platformu, yalnızca 31 internete açık Versa Director örneği buldu ve bunların 16’sı ABD’dendi.
Sorun şu: Versa Director sunucuları, Versa’nın SD-WAN yazılımı için ağ yapılandırmalarını yönetiyor. Bu yazılım genellikle internet servis sağlayıcıları (İSS’ler) ve yönetilen servis sağlayıcıları (MSP’ler) tarafından kullanılıyor. Dolayısıyla tek bir maruz kalma bile büyük bir sorun olabilir.
Bunun sonucunda CISA, bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Versa Director ‘VersaMem’ Sıfır Gün Saldırısı
Lumen’in Black Lotus Labs araştırmacıları, ISS’leri, MSP’leri ve BT şirketlerini hedef alan açığı 12 Haziran 2024 gibi erken bir tarihte keşfetti. Güvenlik açığı 22 Ağustos’ta kamuoyuna duyuruldu ve 22.1.4’ten önceki tüm Versa Director sürümlerini etkiliyor.
Araştırmacılar, “VersaMem” adını verdikleri güvenlik açığına bağlı özel bir web kabuğu tanımladılar. Web kabuğu, kimliği doğrulanmış bir kullanıcı olarak alt akış müşterilerinin ağlarına erişim elde etmek için kimlik bilgilerini ele geçirmek ve toplamak için kullanıldı. VersaMem ayrıca doğası gereği modülerdir ve tehdit aktörlerinin yalnızca bellekte çalışacak ek Java kodu yüklemesine olanak tanır.
Araştırmacılar, ISP, MSP ve BT alanındaki dört ABD’li ve bir ABD’li olmayan kurbanda “bu sıfır günlük güvenlik açığını kullanan aktör kontrollü küçük ofis/ev ofisi (SOHO) cihazları” tespit etti. Tehdit aktörleri, Director düğümlerinin yüksek kullanılabilirlik (HA) eşleşmesi için tasarlanmış açık bir Versa yönetim portu üzerinden ilk yönetim erişimini elde etti ve bu da VersaMem web kabuğunun dağıtımına yol açtı.
Araştırmacılar saldırıları “orta derecede güvenle” Çin destekli Volt Typhoon ve Bronze Silhouette adlı tehdit aktörlerine bağladılar.
VersaMem Azaltma Yöntemleri
Versa Director kullanıcılarının 22.1.4 veya sonraki sürüme yükseltmeleri ve sertleştirme teknikleri ve güvenlik duvarı kuralları gibi satıcının ek rehberliğini takip etmeleri önerilir. Araştırmacılar ayrıca GitHub’da Tehlikeye Girme Göstergeleri (IoC’ler) yayınladı.
Ek azaltma önerileri şunları içerir:
- 4566 ve 4570 numaralı portlara harici/kuzeye doğru erişimi engelleyip, bunların yalnızca etkin ve beklemedeki Versa Director düğümleri arasında HA eşleştirme trafiğine açık olmasını sağlamak.
- Versa Director sistemlerinin 22.1.4 veya sonraki bir sürüme güncellenmesi veya Versa tarafından önerilen bir düzeltme ve diğer önlemlerin uygulanması.
- Versa dışı düğüm IPS’lerinden Versa Director sunucularındaki 4566 portuyla etkileşimler aranıyor.
- Geçerli PNG dosyası olmayan .png uzantılı dosyaları bulmak için Versa webroot dizinini (yinelemeli olarak) arama.
- Yeni oluşturulan kullanıcı hesapları ve diğer anormal aktiviteler kontrol ediliyor.
- Kullanıcı hesaplarının denetlenmesi, sistem/uygulama/kullanıcı günlüklerinin incelenmesi, kimlik bilgilerinin döndürülmesi, alt akış müşteri hesaplarının analiz edilmesi ve herhangi bir IoC tespit edilirse veya 4566 veya 4570 portları herhangi bir süre boyunca açığa çıkarsa yanal hareket girişimlerinin sınıflandırılması.
Cyble tehdit araştırmacıları ayrıca bir dizi ek adım önerdi:
- Yanal hareket, yetkisiz erişim veya veri sızdırma gibi olağan dışı etkinlikleri tespit etmek için güçlü ağ trafiği izlemeyi uygulayın.
- Kimlik bilgilerinin ele geçirilmesi riskini azaltmak için, özellikle Versa Director sunucularına erişimi olan tüm kullanıcılar için MFA’yı zorunlu kılın.
- Kritik sistemlere yalnızca yetkili personelin erişebilmesini sağlamak için kullanıcı kimlik bilgilerinin ve ayrıcalık düzeylerinin düzenli denetimlerini gerçekleştirin.
- Saldırganların özellikle kritik altyapı ile daha az hassas alanlar arasında ağlar arasında yatay hareket etme yeteneklerini sınırlamak için ağ segmentasyonunu uygulayın.
- Kritik sistemlerin ve yapılandırmaların düzenli yedeklerinin alındığından, güvenli bir şekilde saklandığından ve bütünlüğünün test edildiğinden emin olun.