Versa Networks는 Versa Director GUI의 제한 없는 파일 업로드 결함을 악용해 악성 파일을 업로드할 수 있는, 야생에서 악용되는 제로데이 취약점을 수정했습니다.
Versa Director는 관리형 서비스 제공업체가 SASE 서비스의 설계, 자동화 및 제공을 간소화하는 데 도움이 되도록 설계된 플랫폼으로, Versa SASE의 네트워킹 및 보안 기능에 대한 필수적인 관리, 모니터링 및 오케스트레이션을 제공합니다.
Versa가 소프트웨어의 “Favicon 변경” 기능에 대한 심각도가 높은 취약점으로 지정한 이 결함(CVE-2024-39717)을 이용하면 관리자 권한이 있는 위협 행위자가 PNG 이미지로 위장한 악성 파일을 업로드할 수 있습니다.
Versa는 월요일에 공개한 보안 권고에서 “이 취약점으로 인해 Provider-Data-Center-Admin 또는 Provider-Data-Center-System-Admin 권한이 있는 사용자가 잠재적으로 악성 파일을 업로드할 수 있습니다.”라고 설명했습니다.
“영향을 받은 고객은 위에 언급된 시스템 강화 및 방화벽 지침을 구현하지 못하여 인터넷에 관리 포트가 노출되었고, 이를 통해 위협 행위자가 초기 액세스를 할 수 있었습니다.”
Versa에 따르면, CVE-2024-39717은 시스템 강화 요구 사항과 방화벽 지침(2017년과 2015년부터 사용 가능)을 구현하지 않은 고객에게만 영향을 미칩니다.
Versa는 7월 26일에 파트너와 고객에게 Versa 구성 요소에 대한 방화벽 요구 사항을 검토하도록 알렸고, 8월 9일에 발생한 공격에서 악용된 이 제로데이 취약점에 대해 알렸다고 밝혔습니다.
APT 공격자에 의해 “적어도” 한 번은 악용됨
해당 회사는 해당 취약점이 “지능형 지속 위협”(APT) 공격자에 의해 “적어도” 한 건의 공격에서 악용되었다고 밝혔습니다.
Versa는 고객에게 강화 조치를 적용하고 Versa Director 설치를 최신 버전으로 업그레이드하여 들어오는 공격을 차단할 것을 권고합니다. 고객은 /var/versa/vnms/web/custom_logo/ 폴더를 검사하여 업로드되었을 수 있는 의심스러운 파일을 확인하여 해당 환경에서 취약점이 악용되었는지 확인할 수 있습니다.
사이버 보안 및 인프라 보안 기관(CISA)도 금요일에 알려진 악용 취약점(KEV) 카탈로그에 제로데이를 추가했습니다. 2021년 11월 구속력 있는 운영 지침(BOD 22-01)에 따라 연방 기관은 9월 13일까지 네트워크에서 취약한 Versa Director 인스턴스를 보호해야 합니다.
CISA는 “이러한 유형의 취약성은 악의적인 사이버 공격자에게 빈번한 공격 벡터이며 연방 기업에 상당한 위험을 초래합니다.”라고 경고했습니다.
Versa Networks는 전 세계적으로 수백만 명의 사용자를 보유한 수천 개의 고객사(Adobe, Samsung, Verizon, Virgin Media, Comcast Business, Orange Business, Capital One, Barclays 등 대기업과 120개 이상의 서비스 공급업체)에 서비스를 제공하는 SASE(Secure Access Service Edge) 공급업체입니다.