Versa Networks 已就其 Versa Director 产品中发现的漏洞 CVE-2024-45229 发布了安全公告。此漏洞的 CVSS 评分为 6.6,可能会暴露敏感的用户身份验证令牌,从而使企业网络面临风险。
Versa Director 以其编排和管理功能而闻名,通常用于通过 REST API 控制和配置网络服务。虽然某些 API(例如与登录屏幕、横幅和设备注册相关的 API)是有意设计为绕过身份验证的,但已发现一个可能允许攻击者利用这些 API 之一的缺陷。
此特定漏洞是由于能够将无效参数注入 GET 请求中而引起的,当 Versa Director 直接连接到 Internet 时,该请求的目标是 Versa Director。利用此缺陷将使攻击者能够访问当前登录用户的身份验证令牌。然后,可以利用这些令牌来访问端口 9183 上的其他 API,从而进一步破坏系统。
但是,CVE-2024-45229 漏洞不会暴露用户名或密码等用户凭证,这略微限制了其影响。
该漏洞影响了 Versa Director 的多个版本,尤其是 2024 年 9 月 9 日之前发布的映像。Versa 已及时发布修补程序,以缓解受影响版本的问题。以下版本会受到影响:
- 22.1.4、22.1.3 和 22.1.2:2024 年 9 月 9 日之前发布的映像
- 21.2.3 和 21.2.2:同样受到 9 月 9 日截止时间之前的旧图像的影响
Versa 建议立即升级到以下修补版本:
- 22.1.4、22.1.3 和 22.1.2:2024 年 9 月 12 日发布的修补程序
- 21.2.3:修补程序也在同一日期发布
对于 21.2.2 和 22.1.1 等旧版本的用户,Versa 强烈建议分别升级到版本 21.2.3 或 22.1.3。
虽然尚未报告在实时生产环境中利用此漏洞的事件,但 Versa Networks 已承认在实验室环境中存在概念验证。此概念验证演示了攻击的可行性,但尚未表明在实际环境中的广泛利用。
遗憾的是,Versa Director 目前没有为此漏洞提供任何直接的解决方法。但是,管理员可以使用 Web 应用程序防火墙 (WAF) 或 API 网关来阻止对易受攻击的 API 终端节点的访问,作为临时措施。应密切监控和限制以下端点:
-
/vnms/devicereg/device/*
(端口 9182 & 9183) -
/versa/vnms/devicereg/device/*
(端口 443)
最关键的是,Versa 敦促所有用户升级到软件的补丁版本以避免暴露。
发表评论
您还未登录,请先登录。
登录