CISA KEV 24/08/23:Versa Director の脆弱性 CVE-2024-39717 を登録

CISA Urges Federal Agencies to Patch Versa Director Vulnerability by September

2024/08/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的な悪用の証拠に基づき、Versa Director の脆弱性 2024-39717 (CVSS:6.6) を KEV カタログに登録した。この脆弱性は、”Change Favicon” 機能に影響を及ぼす、ファイル・アップロードのバグに起因するものであり、無害な PNG イメージ・ファイルに見せかけた悪意のファイルのアップロードを、脅威アクターたちに許すものとなる。


CISA のアドバイザリには、「Versa Director GUI に取り込まれているものには、Provider-Data-Center-Admin もしくは Provider-Data-Center-System-Admin の権限を持つ管理者が、ユーザー・インターフェイスをカスタマイズできるという、危険なタイプの脆弱性を持つファイルの無制限のアップロードがある。その、”Change Favicon (Favorite Icon) ” を使用すると、”.png” ファイルをアップロードできる。そして、このファイルを悪用することで、”.PNG” 拡張子でイメージに偽装する悪意のファイルのアップロードも可能なる」と記されている。

ただし、この悪用が成功する前提として、Provider-Data-Center-Admin または Provider-Data-Center-System-Admin 権限を持つユーザーが、事前に認証されてログインしている必要がある。

脆弱性 CVE-2024-39717 の悪用に関する正確な状況は不明だが、NIST National Vulnerability Database (NVD) の脆弱性の説明には、Versa Networks のユーザーが標的となった、1件の確認済みの事例が認識されると記載されている。

その説明には、「2015年と 2017年に公開されたファイアウォール・ガイドラインは、そのユーザーには実装されていなかった。この非実装により、悪意のある人物は GUI を使用せずに、この脆弱性を悪用できました」と付け加えられている。

なお、2024年9月13日までに、それぞれの連邦民間行政機関 (FCEB) は、ベンダーから提供される修正を適用し、この脆弱性から保護するための措置を講じる必要がある。

—–

以下は、最近になって CISA KEV に登録された脆弱性のサマリーである。Versa Director の直前に CISA は、2021年と 2022年の4件の脆弱性を、KEV カタログに追加している。

  • CVE-2021-33044 (CVSS score: 9.8) – Dahua IP Camera Authentication Bypass Vulnerability
  • CVE-2021-33045 (CVSS score: 9.8) – Dahua IP Camera Authentication Bypass Vulnerability
  • CVE-2021-31196 (CVSS score: 7.2) – Microsoft Exchange Server Information Disclosure Vulnerability
  • CVE-2022-0185 (CVSS score: 8.4) – Linux Kernel Heap-Based Buffer Overflow Vulnerability

Google 傘下のMandiant によると、UNC5174 (別名 Uteus または Uetus) と呼ばれる中国由来の脅威アクターが、今年の3月初めに CVE-2022-0185 の悪用と結び付けられている。

脆弱性 CVE-2021-31196 は、Microsoft Exchange Server の脆弱性の一部であり、また、ProxyLogon/ProxyShell/ProxyToken/ProxyOracle などの名前でも呼ばれている。

OP Innovate は、「この CVE-2021-31196 は、脅威アクターがパッチ未適用の Microsoft Exchange Server インスタンスを標的とする、アクティブな悪用キャンペーンで確認されている。一般的に、これらの攻撃は、機密情報への不正アクセス/権限の昇格に加えて、新たなランサムウェアやマルウェアなどのペイロード展開を目的としている」と述べている。

Versa Director の脆弱性 CVE-2024-39717 の KEV 登録に加えて、最近の動向を伝える記事となっています。文中の製品をご利用のチームは、十分に お気をつけください。なお、Versa Director について調べてみたところ、「Versa Networks の仮想化およびサービス作成のプラットフォームであり、Versa WAN エッジ ソフトウェア FlexVNF を使用してサービスの作成/自動化/配信を簡素化する。Versa Director は、Versa のセキュア クラウド IP アーキテクチャ・ネットワークおよびセキュリティ・ソフトウェア・サービスで必要とされる、基本的な管理/監視/オーケストレーションの機能を提供する」と紹介されていました。