2024-8-27 14:15| 发布者: 西瓜太郎| 查看: 301| 评论: 0|原作者: Paul Shread
 Versa Director服务器中的零日漏洞证明,漏洞不需要严重性评级和数千次暴露即可造成重大损害。 上周公布的CVE-2024-39717获得了NIST国家漏洞数据库(NVD)的7.2(高)CVSS评级和HackerOne的6.6(中)评级。 此外,Cyble的ODIN漏洞扫描平台只发现了31个暴露在互联网上的Versa Director实例,其中16个来自美国。 问题是:Versa Director服务器管理Versa SD-WAN软件的网络配置,该软件通常由互联网服务提供商(ISP)和托管服务提供商(MSP)使用,因此即使是一次暴露也可能是一件大事。 因此,CISA已将该漏洞添加到其已知利用漏洞(KEV)目录中。 Versa总监“VersaMem”零日漏洞利用 Lumen Black Lotus Labs的研究人员早在2024年6月12日就发现了针对ISP、MSP和IT公司的漏洞。该漏洞于8月22日公开宣布,影响22.1.4之前的所有Versa Director版本。 研究人员发现了一个与该漏洞相关的自定义web shell,他们将其称为“VersaMem”。该web shell用于拦截和获取凭据,以身份验证用户的身份访问下游客户的网络。VersaMem本质上也是模块化的,允许威胁行为者加载额外的Java代码,以在内存中独占运行。 研究人员在ISP、MSP和IT领域的四名美国和一名非美国受害者身上发现了“利用这一零日漏洞的由演员控制的小型办公室/家庭办公室(SOHO)设备”。威胁参与者通过暴露的Versa管理端口获得了初始管理访问权限,该端口旨在实现Director节点的高可用性(HA)配对,从而部署了VersaMem web shell。 研究人员将这些袭击“中等程度地”归因于中国国家支持的威胁行为者,即Volt Typhoon和Bronze Silhouette。 VersaMem缓解措施 强烈建议Versa Director用户升级到22.1.4或更高版本,并遵循供应商的其他指导,例如应用强化技术和防火墙规则。研究人员还在GitHub上发布了妥协指标(IoC)。 其他缓解建议包括: 阻止对端口4566和4570的外部/北向访问,并确保它们仅在活动和备用Versa Director节点之间开放,用于HA配对流量。 将Versa Director系统更新到22.1.4或更高版本,或应用Versa建议的修补程序和其他措施。 从非Versa节点IP搜索与Versa Director服务器上的端口4566的交互。 在Versa webroot目录中(递归)搜索扩展名为.png的文件,这些文件不是有效的png文件。 检查新创建的用户帐户和其他异常活动。 如果发现任何IoC或端口4566或4570在任何时间段内暴露,则审计用户帐户、审查系统/应用程序/用户日志、轮换凭据、分析下游客户帐户并对横向移动尝试进行分类。 Cyble威胁研究人员还建议了一些额外的步骤: 实施强大的网络流量监控,以检测异常活动,如横向移动、未经授权的访问或数据泄露。 对所有用户强制执行MFA,特别是那些可以访问Versa Director服务器的用户,以降低凭证被劫持的风险。 定期审核用户凭据和权限级别,以确保只有授权人员才能访问关键系统。 实施网络分段,以限制攻击者跨网络横向移动的能力,特别是在关键基础设施和不太敏感的区域之间。 确保对关键系统和配置进行定期备份,安全存储并测试其完整性。 |
