CISA dringt er bij federale agentschappen op aan om kwetsbaarheid van Versa Director vóór september te verhelpen

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een beveiligingslek dat gevolgen heeft voor Versa Director toegevoegd aan de catalogus met bekende misbruikte kwetsbaarheden (KEV) op basis van bewijs van actief misbruik.

De kwetsbaarheid met gemiddelde ernst, geregistreerd als CVE-2024-39717 (CVSS-score: 6,6), is een geval van een bug bij het uploaden van bestanden die invloed heeft op de functie ‘Favicon wijzigen’. Hiermee kan een kwaadwillende actor een schadelijk bestand uploaden door het te vermommen als een ogenschijnlijk onschadelijk PNG-afbeeldingsbestand.

“De Versa Director GUI bevat een kwetsbaarheid voor onbeperkt uploaden van bestanden met gevaarlijke typen, waardoor beheerders met Provider-Data-Center-Admin- of Provider-Data-Center-System-Admin-rechten de gebruikersinterface kunnen aanpassen”, aldus CISA in een advies.

“Met ‘Favicon wijzigen’ (favorietpictogram) kunt u een .png-bestand uploaden. Dit kan worden misbruikt om een ​​schadelijk bestand met de extensie .png te uploaden, vermomd als een afbeelding.”

Een succesvolle exploitatie is echter alleen mogelijk nadat een gebruiker met Provider-Data-Center-Admin- of Provider-Data-Center-System-Admin-rechten zich succesvol heeft geauthenticeerd en aangemeld.

Hoewel de exacte omstandigheden rondom het misbruik van CVE-2024-39717 onduidelijk zijn, blijkt uit een beschrijving van de kwetsbaarheid in de NIST National Vulnerability Database (NVD) dat Versa Networks op de hoogte is van één bevestigd geval waarin een klant het doelwit was.

“De Firewall-richtlijnen die in 2015 en 2017 werden gepubliceerd, werden niet door die klant geïmplementeerd”, aldus de beschrijving. “Deze niet-implementatie resulteerde erin dat de kwaadwillende deze kwetsbaarheid kon misbruiken zonder de GUI te gebruiken.”

Agentschappen van de Federal Civilian Executive Branch (FCEB) moeten maatregelen nemen om zich te beschermen tegen het lek door vóór 13 september 2024 oplossingen van de leverancier toe te passen.

De ontwikkeling komt enkele dagen nadat CISA vier beveiligingstekortkomingen uit 2021 en 2022 aan zijn KEV-catalogus heeft toegevoegd –

  • CVE-2021-33044 (CVSS-score: 9,8) – Dahua IP-camera-authenticatie-bypasskwetsbaarheid
  • CVE-2021-33045 (CVSS-score: 9,8) – Dahua IP-camera-authenticatie-bypasskwetsbaarheid
  • CVE-2021-31196 (CVSS-score: 7,2) – Kwetsbaarheid in openbaarmaking van informatie in Microsoft Exchange Server
  • CVE-2022-0185 (CVSS-score: 8,4) – Linux Kernel Heap-Based Buffer Overflow-kwetsbaarheid

Het is vermeldenswaard dat een aan China gelinkte dreigingsactor met de codenaam UNC5174 (ook bekend als Uteus of Uetus) eerder deze maart werd toegeschreven aan de exploitatie van CVE-2022-0185 door Mandiant, eigendom van Google.

CVE-2021-31196 werd oorspronkelijk bekendgemaakt als onderdeel van een groot aantal kwetsbaarheden in Microsoft Exchange Server, gezamenlijk bekend als ProxyLogon, ProxyShell, ProxyToken en ProxyOracle.

“CVE-2021-31196 is waargenomen in actieve exploitatiecampagnes, waarbij dreigingsactoren ongepatchte Microsoft Exchange Server-instanties als doelwit hebben”, aldus OP Innovate. “Deze aanvallen zijn doorgaans gericht op het verkrijgen van ongeautoriseerde toegang tot gevoelige informatie, het verhogen van privileges of het implementeren van verdere payloads zoals ransomware of malware.”

Thijs Van der Does