Versa Director’daki güvenlik açıkları asla küçük bir mesele değildir, zira platform Versa’nın SD-WAN yazılımı için ağ yapılandırmalarını yönetmektedir. Bu yazılım genellikle internet servis sağlayıcıları (İSS’ler) ve yönetilen servis sağlayıcıları (MSP’ler) tarafından kullanılır, dolayısıyla tek bir ifşanın büyük bir aşağı yönlü etkiye yol açma potansiyeli vardır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Versa Networks’ün Versa Director’ında CVE-2024-45229 olarak tanımlanan bir güvenlik açığını vurguladı. 6.6 şiddetindeki güvenlik açığı, uygunsuz giriş doğrulamasından kaynaklanıyor ve yazılımın beş sürümünü etkiliyor. Versa Director açığını içeren güvenlik açığı olan sürümleri kullanan kuruluşlar, ağlarını korumak için daha yeni bir sürüme yükseltme yaparak derhal harekete geçmeye çağrılıyor.
Bu uyarı, geçen ay tedarik zinciri saldırısında alt müşterilere saldırmak için kullanılan yüksek öneme sahip bir güvenlik açığı olan CVE-2024-39717’yi takip ediyor.
Cyble’ın ODIN tarayıcısı şu anda 73 adet internete açık Versa Director örneği gösteriyor, ancak bunlardan kaçının son güvenlik açığını içerdiği henüz belli değil.
Versa Director Kusuru API Açığına Yol Açıyor
Yeni güvenlik açığıyla ilgili bir blog yazısında, Cyble tehdit istihbaratı araştırmacıları Versa Director’ın REST API’lerinin otomasyonu kolaylaştırdığını ve birleşik bir arayüz aracılığıyla işlemleri kolaylaştırdığını, BT ekiplerinin ağ sistemlerini daha verimli bir şekilde yapılandırmalarına ve izlemelerine olanak tanıdığını belirtti. Cyble, yeni güvenlik açığının tasarım gereği kimlik doğrulaması gerektirmeyen belirli API’lerde uygunsuz giriş doğrulaması yapılmasına izin verdiğini belirtti.
Cyble, “İnternete doğrudan bağlanan Versa Yöneticileri için saldırganlar, geçersiz argümanları bir GET isteğine enjekte ederek bu güvenlik açığını potansiyel olarak istismar edebilir,” dedi. “Bu, şu anda oturum açmış kullanıcıların kimlik doğrulama belirteçlerini açığa çıkarabilir ve bunlar daha sonra 9183 numaralı bağlantı noktasındaki ek API’lere erişmek için kullanılabilir.”
Bu istismar kullanıcı kimlik bilgilerini açığa çıkarmasa da, “token ifşasının etkileri daha geniş güvenlik ihlallerine yol açabilir.”
Cyble, “Bu tokenların ifşa edilmesi, saldırganların ek API’lere erişmesine olanak tanıyabilir,” dedi. “Bu tür yetkisiz erişim, daha geniş güvenlik ihlallerini kolaylaştırabilir ve hassas verileri ve operasyonel bütünlüğü etkileyebilir.”
Versa, bir web uygulama güvenlik duvarı (WAF) veya API ağ geçidinin, savunmasız API’lerin URL’lerine erişimi engelleyerek internete açık Versa Director örneğini korumaya yardımcı olabileceğini belirtti (9182 ve 9183 portlarında /vnms/devicereg/device/* ve 443 portunda /versa/vnms/devicereg/device/*).
Etkilenen Versa Director Sürümleri
Güvenlik açığı, 9 Eylül 2024’ten önce yayınlanan 22.1.4, 22.1.3 ve 22.1.2’nin yanı sıra 22.1.1, 21.2.3 ve 21.2.2’nin tüm sürümlerini etkiliyor.
12 Eylül ve daha yeni sürümlerde bir düzeltme bulunmaktadır.
Kusur, esas olarak, tasarım gereği kimlik doğrulaması gerektirmeyen API’lerden kaynaklanmaktadır. Bunlara oturum açma, afiş görüntüleme ve cihazları kaydetme arayüzleri dahildir.
Cyble Önerileri
Cyble araştırmacıları, Versa Director örneklerini korumak için bir dizi hafifletme ve en iyi uygulamayı öneriyor.
- Versa Networks tarafından sağlanan son yamaları hemen uygulayın.
- Kapsamlı koruma için 22.1.1 sürümünden 22.1.3 sürümüne ve 21.2.2 sürümünden 21.2.3 sürümüne yükseltin.
- Potansiyel saldırı yüzeylerini sınırlamak için kritik sistemleri ağ segmentasyonu yoluyla izole edin.
- Güvenlik açığı bulunan URL’lere erişimi engellemek için web uygulama güvenlik duvarlarını (WAF) veya API ağ geçitlerini kullanın.
- Olağandışı faaliyetleri tespit etmek için gelişmiş Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemlerini kullanın.
- Gerçek zamanlı tehdit tespiti için günlükleri ve uyarıları düzenli olarak inceleyin.
- Ağ altyapısındaki zayıflıkları ortaya çıkarın.
- Kötü niyetli kişiler bunları istismar etmeden önce güvenlik açıklarını giderin.