Versa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響
Versa Director の脆弱性は、プラットフォームが Versa の SD-WAN ソフトウェアのネットワーク構成を管理するため、決して小さな問題ではありません
インターネット サービス プロバイダー (ISP) およびマネージド サービス プロバイダー (MSP) が Versa の SD-WAN ソフトウェアのネットワーク構成を管理するために使用する Versa Networks の Versa Director の脆弱性が、サイバーセキュリティおよびインフラストラクチャ セキュリティによって公開されました。代理店 (CISA)。この脆弱性は CVE-2024-45229 として追跡され、重大度は 6.6 と評価されており、ソフトウェアの 5 つのバージョンに影響します。
脆弱なバージョンを使用している組織は、新しいバージョンにアップグレードしてネットワークを保護するための措置を直ちに講じることをお勧めします。この勧告は、サプライ チェーン攻撃で下流の顧客を攻撃するために使用された、先月発生した重大度の高い脆弱性 CVE-2024-39717 に続くものです。
Cyble の ODIN スキャナーは現在、インターネットに公開されている 73 個の Versa Director インスタンスを表示していますが、そのうちの何個に最新の脆弱性が含まれているかは不明です。
Versa Director の欠陥が API エクスプロイトにつながる
Versa Director の REST API は、統合インターフェイスを通じて自動化を促進し、運用を合理化するように設計されており、IT チームがネットワーク システムをより効率的に構成および監視できるようになります。ただし、これらの API の実装に欠陥があるため、不適切な入力検証が可能になると、Cyble 脅威インテリジェンスの研究者がブログ投稿で説明しました。
問題の API は、デフォルトでは認証を必要としないように設計されており、ネットワーク接続があれば誰でもアクセスできます。攻撃者は、インターネットに直接接続されている Versa Director インスタンスに特別に作成した GET リクエストを送信することで、この脆弱性を悪用する可能性があります。
「インターネットに直接接続されている Versa Director の場合、攻撃者は GET リクエストに無効な引数を挿入することで、この脆弱性を悪用する可能性があります」と Cyble 氏は述べています。 「これにより、現在ログインしているユーザーの認証トークンが公開され、ポート 9183 で追加の API にアクセスするために使用される可能性があります。」
エクスプロイト自体はユーザーの資格情報を明らかにしませんが、「トークンの漏洩の影響により、より広範なセキュリティ侵害につながる可能性があります。」
「これらのトークンが公開されると、攻撃者が追加の API にアクセスできるようになる可能性があります」と Cyble 氏は述べています。 「このような不正アクセスは広範なセキュリティ侵害を助長し、機密データや運用の完全性に影響を与える可能性があります。」
Versa は、Web アプリケーション ファイアウォール (WAF) または API ゲートウェイを使用して、脆弱な API の URL (ポート 9182 上の /vnms/devicereg/device/* および9183 およびポート 443 の /versa/vnms/devicereg/device/*)。
影響を受ける Versa Director のバージョン
この脆弱性は、Versa Director の複数のバージョン、特に 2024 年 9 月 9 日より前にリリースされたバージョンに影響します。これには、バージョン 22.1.4、22.1.3、22.1.2 と、22.1.1、21.2 のすべてのバージョンが含まれます。 3、および 21.2.2.
9 月 12 日以降にリリースされたバージョンには、この脆弱性に対するホットフィックスが含まれています。
この欠陥は主に、設計上認証を必要としない API に起因します。これらには、ログイン、バナーの表示、デバイスの登録のためのインターフェイスが含まれます。
サイクルの推奨事項
Cyble の研究者は、Versa Director インスタンスを保護するために次の緩和策とベスト プラクティスを推奨しています。
以上がVersa Director の欠陥が API エクスプロイトにつながり、SD-WAN の顧客に影響の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1668
14
1427
52
1329
25
1273
29
1256
24
Om Mantra Cryptocurrencyが90%クラッシュし、チームはトークン供給の90%を捨てたと言われています
Apr 14, 2025 am 11:26 AM
投資家への壊滅的な打撃で、OM Mantra Cryptocurrencyは過去24時間で約90%崩壊し、価格は0.58ドルに急落しました。
暗号市場は、最近の純粋な景気後退に続いてリバウンドを目撃しました
Apr 13, 2025 am 11:40 AM
暗号市場は、最近の純粋な景気後退に続いてリバウンドを目撃しました。排他的な市場データによると、総暗号時価総額は2.71tsに達しました
恐怖の販売を促進するにつれて、BlockDag(BDAG)が群衆から際立っています
Apr 13, 2025 am 11:48 AM
恐怖が暗号市場で販売されるようになるにつれて、カルダノやソラナのような主要なコインは厳しい時代に直面しています。
Trollercat($ TCAT)は、ミームコイン市場で支配的な力として際立っています
Apr 14, 2025 am 10:24 AM
暗号通貨の世界でミームコインの流星の上昇に気づいたことがありますか?オンラインジョークとして始まったものは、すぐに収益性の高い投資機会に進化しました
ナイトフォール:イーサリアムブロックチェーンのプライバシー強化プロトコル
Apr 13, 2025 am 10:48 AM
急速に進化するブロックチェーンテクノロジーの世界では、EYの悪夢のプロトコルが重要な発展として浮上しています。
Metaplanetは、Bitcoin Treasury Holdingsをさらに319 BTCで拡張します
Apr 15, 2025 am 11:20 AM
本日の早期に発表された日本企業のメタプラネットは、さらに319ビットコイン(BTC)を買収し、4,500 BTCを超えて企業保有を推進したことを明らかにしました。
ビットワイズは、ロンドン証券取引所(LSE)に関する4つの暗号ETPのリストを発表します
Apr 18, 2025 am 11:24 AM
大手デジタル資産マネージャーであるBitwiseは、ロンドン証券取引所(LSE)にあるCrypto Exchange-Traded製品(ETP)の4つのリストを発表しました。
Binance Coin(BNB)が1,000ドルのブレイクアウトに向かって勢いを増すと、新しいAltcoin RCO Finance(RCOF)が会話をかき立てています
Apr 15, 2025 am 09:50 AM
Binance Coin(BNB)が1,000ドルのブレイクアウトに向かって勢いを増すにつれて