Oprogramowanie Versa Director domyślnie udostępnia usługi SSH i PostgreSQL w sieci Internet, a wiele kont systemowych (większość z uprawnieniami sudo) korzysta z tych samych domyślnych danych uwierzytelniających. Stanowi to poważne zagrożenie, ponieważ atakujący bez żadnych uprawnień może uzyskać pełną kontrolę nad systemem.
▸ Pokaż oryginał (EN)
The Versa Director software exposes a number of services by default and allow attackers an easy foothold due to default credentials and multiple accounts (most with sudo access) that utilize the same default credentials. By default, Versa director exposes ssh and postgres to the internet, alongside a host of other services. Versa Networks is not aware of any reported instance where this vulnerability was exploited. Proof of concept for this vulnerability has been disclosed by third party security researchers. Workarounds or Mitigation: Versa recommends the following security controls: 1) Change default passwords to complex passwords 2) Passwords must be complex with at least 8 characters that comprise of upper case, and lower case alphabets, as well as at at least one digit, and one special character 3) Passwords must be changed at least every 90 days 4) Password change history is checked to ensure that the at least the last 5 passwords must be used when changing password. 5) Review and audit logs for all authentication attempts to check for unauthorized/suspicious login attempts and enforce remediation steps.
Podatność wynika z zastosowania domyślnych, niezmienionych danych uwierzytelniających (CWE-1188) na wielu kontach systemowych. Versa Director domyślnie eksponuje usługi SSH oraz PostgreSQL bezpośrednio na interfejsie sieciowym dostępnym z Internetu. Ponieważ wiele kont posiada uprawnienia sudo i korzysta z tych samych domyślnych haseł, atakujący może bez żadnych dodatkowych technik uzyskać zdalny, nieuprawniony dostęp. Proof of concept demonstrujący podatność został publicznie ujawniony przez zewnętrznych badaczy bezpieczeństwa.
Atakujący zdalnie i bez uwierzytelnienia może uzyskać pełny dostęp do systemu Versa Director — w tym do bazy danych PostgreSQL i powłoki systemowej z uprawnieniami administracyjnymi (sudo), co skutkuje całkowitą utratą poufności, integralności i dostępności systemu.
Należy niezwłocznie zmienić wszystkie domyślne hasła na złożone (minimum 8 znaków: wielkie i małe litery, cyfra, znak specjalny) oraz ograniczyć dostęp sieciowy do usług SSH i PostgreSQL wyłącznie do zaufanych adresów IP. Producent zaleca rotację haseł co 90 dni, weryfikację historii ostatnich 5 haseł oraz regularny przegląd logów uwierzytelniania. Należy zastosować patche dostępne u producenta zgodnie z referencjami (Versa Director w wersji 22.1.4).
Oprogramowanie Versa Director w wersjach, w których nie zmieniono domyślnych danych uwierzytelniających; producent wskazuje wersję 22.1.4 jako zawierającą poprawki — szczegóły w referencjach producenta
Producent (Versa Networks) potwierdza brak znanych przypadków wykorzystania tej podatności w środowiskach produkcyjnych, jednak proof of concept został publicznie ujawniony przez zewnętrznych badaczy bezpieczeństwa.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H