Versa Networks, saldırganların Versa Director GUI’sindeki kısıtlanmamış bir dosya yükleme açığından yararlanarak kötü amaçlı dosyalar yüklemesine olanak tanıyan, yaygın olarak kullanılan bir sıfır günlük güvenlik açığını düzeltti.
Versa Director, yönetilen hizmet sağlayıcılarının SASE hizmetlerinin tasarımını, otomasyonunu ve sunumunu basitleştirmesine yardımcı olmak üzere tasarlanmış bir platformdur ve Versa SASE’nin ağ ve güvenlik yetenekleri için temel yönetim, izleme ve orkestrasyon sunar.
Versa tarafından yazılımın “Favicon Değiştir” özelliğindeki yüksek öneme sahip bir güvenlik açığı olarak etiketlenen (CVE-2024-39717) kusur, yönetici ayrıcalıklarına sahip tehdit aktörlerinin PNG görüntüleri olarak kamufle edilmiş kötü amaçlı dosyaları yüklemesine olanak tanıyor.
Versa, pazartesi günü yayınladığı bir güvenlik duyurusunda, “Bu güvenlik açığı, Provider-Data-Center-Admin veya Provider-Data-Center-System-Admin ayrıcalıklarına sahip kullanıcılar tarafından potansiyel olarak kötü amaçlı dosyaların yüklenmesine olanak sağladı” açıklamasını yaptı.
“Etkilenen müşteriler yukarıda belirtilen sistem güçlendirme ve güvenlik duvarı yönergelerini uygulamada başarısız oldular ve bu da tehdit aktörlerine ilk erişimi sağlayan internet üzerindeki bir yönetim portunun açığa çıkmasına neden oldu.”
Versa’ya göre CVE-2024-39717 yalnızca sistem güçlendirme gereksinimlerini ve güvenlik duvarı yönergelerini (2017 ve 2015’ten beri mevcuttur) uygulamayan müşterileri etkiliyor.
Versa, 26 Temmuz’da ortaklarını ve müşterilerini Versa bileşenlerine yönelik güvenlik duvarı gereksinimlerini gözden geçirmeleri konusunda uyardığını ve 9 Ağustos’taki saldırılarda istismar edilen bu sıfır günlük güvenlik açığı hakkında onları bilgilendirdiğini söylüyor.
APT aktörü tarafından “en az” bir kez istismar edildi
Şirket, söz konusu güvenlik açığının “Gelişmiş Sürekli Tehdit” (APT) adlı bir grup tarafından “en az” bir saldırıda istismar edildiğini söylüyor.
Versa, müşterilere gelen saldırıları engellemek için güçlendirme önlemleri almalarını ve Versa Director kurulumlarını en son sürüme yükseltmelerini tavsiye ediyor. Müşteriler, yüklenmiş olabilecek şüpheli dosyalar için /var/versa/vnms/web/custom_logo/ klasörünü inceleyerek güvenlik açığının kendi ortamlarında istismar edilip edilmediğini kontrol edebilirler.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da Cuma günü sıfır günü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Kasım 2021 bağlayıcı operasyonel direktif (BOD 22-01) tarafından zorunlu kılındığı üzere, federal ajanslar ağlarındaki savunmasız Versa Director örneklerini 13 Eylül’e kadar güvence altına almalıdır.
CISA, “Bu tür güvenlik açıkları kötü niyetli siber aktörler için sık görülen saldırı vektörleridir ve federal işletmeler için önemli riskler oluştururlar” uyarısında bulundu.
Versa Networks, milyonlarca kullanıcısı olan binlerce müşteriye hizmet sağlayan, aralarında büyük işletmelerin (örneğin Adobe, Samsung, Verizon, Virgin Media, Comcast Business, Orange Business, Capital One, Barclays) ve dünya çapında 120’den fazla servis sağlayıcının bulunduğu güvenli erişim hizmeti kenarı (SASE) sağlayıcısıdır.