Vulnerabilidad en Versa Director (CVE-2024-45229)

Versa Director ofrece API REST para orquestación y administración. Por diseño, ciertas API, como la pantalla de inicio de sesión, la visualización de banners y el registro de dispositivos, no requieren autenticación. Sin embargo, se descubrió que para los Directors conectados directamente a Internet, una de estas API se puede explotar inyectando argumentos no válidos en una solicitud GET, lo que potencialmente expone los tokens de autenticación de otros usuarios que hayan iniciado sesión en ese momento. Estos tokens se pueden usar para invocar API adicionales en el puerto 9183. Este exploit no revela ninguna información de nombre de usuario o contraseña. Actualmente, no hay workarounds en Versa Director. Sin embargo, si hay un firewall de aplicaciones web (WAF) o una puerta de enlace de API frente a Versa Director, se puede usar para bloquear el acceso a las URL de API vulnerables. /vnms/devicereg/device/* (en los puertos 9182 y 9183) y /versa/vnms/devicereg/device/* (en el puerto 443). Versa recomienda que los Directors se actualicen a una de las versiones de software corregidas. Esta vulnerabilidad no se puede explotar en los Directors de Versa que no estén expuestos a Internet. Hemos comprobado que ninguna de las cabeceras alojadas en Versa se ha visto afectada por esta vulnerabilidad. Póngase en contacto con el equipo de asistencia técnica de Versa o con el equipo de cuentas de Versa para obtener más ayuda.