SK-CERT Bezpečnostné varovanie V20240828-01

Dôležitosť Vysoká
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 7.2
Identifikátor
Versa Director – aktívne zneužívaná zero-day zraniteľnosť
Popis
Spoločnosť VERSA NETWORKS vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť SESA (Secure Access Service Edge) platformy VERSA DIRECTOR.
Zraniteľnosť s označením CVE-2024-39717 sa nachádza vo funkcionalite „Change Favicon" grafického používateľského rozhrania a vzdialený autentifikovaný útočník s oprávneniami administrátora by ju mohol zneužiť na upload špeciálne vytvorených škodlivých súborov maskovaných ako PNG a následné vykonanie škodlivého kódu.
Zraniteľnosť je možné zneužiť len na inštaláciách, na ktorých neboli aplikované odporúčania spoločnosti na hardening systémov a firewallov, v rámci ktorých dochádza k zabezpečeniu tzv. HA (high Availability) portov produktu, ktoré možno zneužiť na vytvorenie používateľských účtov s oprávneniami úrovne Provider-Data-Center-Admin alebo Provider-Data-Center-System-Admin.
Zraniteľnosť je minimálne od 12. júna 2024 aktívne zneužívaná čínskou APT skupinou VOLT TYPHOON, ktorá svoje útoky zneužívajúce túto zraniteľnosť cieli primárne na poskytovateľov internetového pripojenia ISP.
Dátum prvého zverejnenia varovania
26.8.2024
CVE
CVE-2024-39717
IOC
4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37 (SHA256 VersaMem webshell)
/tmp/.temp.data (cesta slúžiaca na ukladanie exfiltrovaných súborov)
Zasiahnuté systémy
Versa Director vo verzii 21.2.2
Versa Director vo verzii 21.2.3 bez hotfixu z 21.06.2024
Versa Director vo verzii 22.1.1
Versa Director vo verzii 22.1.2 bez hotfixu z 21.06.2024
Versa Director vo verzii 22.1.3 bez hotfixu z 21.06.2024
Následky
Eskalácia privilégií
Vzdialené vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Výrobca odporúča vykonať bezodkladnú aktualizáciu zasiahnutých systémov a hardening systémov podľa postupov na:
https://docs.versa-networks.com/Getting_Started/Deployment_and_Initial_Configuration/Deployment_Basics/Firewall_Requirements
https://docs.versa-networks.com/Solutions/System_Hardening

Zneužitie zraniteľnosti možno vyhodnotiť analýzou obsahu priečinka slúžiaceho na upload súborov:
/var/versa/vnms/web/custom_logo/

Na kontrolu typu súboru možno na OS LINUX využiť príkaz:
"file -b –mime-type <NAZOV_ANALYZOVANEHO_SUBORU>".

Alternatívne môžete použiť aj YARA pravidlá dostupné na GITHUB stránke bezpečnostných výskumníkov zo spoločnosti LUMEN:
https://github.com/blacklotuslabs/IOCs/blob/main/VersaMem_IOCs.txt
Zdroje
https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/
https://blog.lumen.com/taking-the-crossroads-the-versa-director-zero-day-exploitation/

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy