Vulnerabilidad en Versa Director (CVE-2024-42450)

Versa Director utiliza PostgreSQL (Postgres) para almacenar datos operativos y de configuración. También es necesario para la función de alta disponibilidad de Versa Director. La configuración predeterminada tiene una contraseña común en todas las instancias de Versa Director. De forma predeterminada, Versa Director configura Postgres para escuchar en todas las interfaces de red. Esta combinación permite que un atacante no autenticado acceda y administre la base de datos o lea el contenido del sistema de archivos local para aumentar los privilegios en el sistema. Estado de explotación: Versa Networks no tiene conocimiento de esta explotación en ningún sistema de producción. Existe una prueba de concepto en el entorno de laboratorio. Soluciones alternativas o mitigación: a partir de la última versión 22.1.4 de Versa Director, el software restringirá automáticamente el acceso a los puertos Postgres y HA solo a los Versa Directors locales y de pares. Para versiones anteriores, Versa recomienda realizar un fortalecimiento manual de los puertos HA. Consulte el siguiente enlace para conocer los pasos https://docs.versa-networks.com/Solutions/System_Hardening/Perform_Manual_Hardening_for_Versa_Director#Secure_HA_Ports Esta vulnerabilidad no se puede explotar en Versa Directors si se implementan las pautas de firewall publicadas. Hemos validado que ninguna de las cabeceras alojadas en Versa se haya visto afectada por esta vulnerabilidad. Todas las cabeceras alojadas en Versa están parcheadas y reforzadas. Comuníquese con el soporte técnico de Versa o con el equipo de cuentas de Versa para obtener más ayuda. Enlaces de descarga de software: 22.1.4: https://support.versa-networks.com/support/solutions/articles/23000026708-release-22-1-4