Versa Networks Exposes Critical API Vulnerability in Versa Director (CVE-2024-45229)
2024/09/20 SecurityOnline — Versa Networks が発表したのは、同社の Versa Director で発見された脆弱性 CVE-2024-45229 (CVSS:6.6) に関するセキュリティ勧告である。この脆弱性の悪用により、機密性の高いユーザー認証トークンが漏洩する可能性があり、企業ネットワークが危険にさらされる。
Versa Director は、オーケストレーションとマネージメントの機能で知られており、REST API 経由でのネットワーク・サービスの制御/設定で使用されている。一部の API である、ログイン画面/バナー/デバイス登録に関連するものは、意図的に認証をバイパスするように設計されている。しかし、先日に発見された脆弱性 CVE-2024-45229 が悪用されると、これらの API のいずれかが、攻撃者に悪用される可能性が生まれる。
この脆弱性は、GET リクエストに無効な引数を注入できてしまう機能に起因し、インターネットに露出している Versa Director を標的とする攻撃にさらされる。この脆弱性の悪用に成功した攻撃者は、その時点でログインしているユーザーの、認証トークンにアクセスできるようになる。そして、このトークンの悪用により、port 9183 上に追加された API へのアクセスが可能となり、システムは極めて危険な状況に陥る。
ただし、脆弱性 CVE-2024-45229 からは、ユーザー名/パスワードなどのユーザー認証情報が公開されないため、その影響は限定的だとされる。
この脆弱性は、Versa Director の複数のバージョンに影響を及ぼす。特に、2024年9月9日以前にリリースされたバージョンへの影響が大きい。すでに Versa は、 Hotfix をリリースし、影響を受けるバージョンにおける問題を緩和している。この脆弱性の影響を受けるバージョンは、以下の通りである:
- 22.1.4/22.1.3/22.1.2:2024年9月9日以前にリリースされたバージョン。
- 21.2.3/21.2.2:9月9日以前のバージョンであり、同様に影響を受ける。
影響を受けるバージョンを使用しているユーザーに対して、Versa が推奨するのは、以下のパッチ適用済みバージョンへのアップグレードである。
現時点において、この脆弱性が実稼働環境で悪用されたという報告はないが、ラボ環境での実証実験の存在を、Versa Networks は認めている。この実証実験は、攻撃の実行可能性を示しているが、広範囲にわたる現実の環境での悪用を示すものではない。
現時点において、Versa Director からは、この脆弱性に対する直接的な回避策は提供されていない。しかし、管理者は暫定的な措置として、WAF (Web Application Firewalls) または API ゲートウェイを使用して、脆弱な API エンドポイントへのアクセスをブロックできる。以下のエンドポイントに対しては、厳重に監視し、制限する必要がある。
/vnms/devicereg/device/*(ports 9182 & 9183)/versa/vnms/devicereg/device/*(port 443)
この、Versa Director ですが、Versa Networks の仮想化およびサービス作成のプラットフォームであり、Versa WAN エッジ ソフトウェア FlexVNF を使用してサービスの作成/自動化/配信を簡素化するというものです。このような自動化のためのプラットフォームが侵害されると、サプライチェーン攻撃にいたる可能性もありそうです。ご利用のチームは、十分に ご注意ください。よろしければ、Versa で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.