Metadescripción: CISA advierte sobre CVE-2024-39717 en Versa Director, e insta a actualizar a la versión 22.1.4, usar MFA y fortalecer la seguridad de la red para evitar la explotación. Conclusiones clave Esta vulnerabilidad CVE-2024-39717 afecta a Versa Director, una plataforma clave para administrar las soluciones Versa SD-WAN utilizadas por ISP y MSP. CVE-2024-39717 involucra una falla de carga de archivos sin restricciones que permite a los usuarios autenticados cargar archivos maliciosos disfrazados de imágenes .png. La explotación de esta falla puede provocar acceso no autorizado y un posible compromiso del sistema, lo que representa un riesgo grave para las organizaciones afectadas. El análisis de Cyble revela 31 instancias expuestas a Internet de Versa Director, 16 de ellas en EE. UU., lo que indica un potencial significativo de explotación. Un actor de APT ha explotado la vulnerabilidad debido a una falla en la implementación de las medidas de firewall y endurecimiento recomendadas. Se recomienda a los usuarios que actualicen a Versa Director versión 22.1.4 o posterior y sigan prácticas de seguridad adicionales para mitigar los riesgos. Descripción general La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado recientemente una nueva vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV). Esta vulnerabilidad, identificada como CVE-2024-39717, afecta a Versa Director, una plataforma de administración ampliamente utilizada para las soluciones SD-WAN de Versa. A pesar de no estar clasificada como una falla crítica, esta vulnerabilidad de día cero se dirige a muchos usuarios que utilizan los servicios de Versa Director. Versa Director es crucial para administrar las configuraciones de red para el software SD-WAN de Versa, que es comúnmente utilizado por proveedores de servicios de Internet (ISP) y proveedores de servicios administrados (MSP). El impacto de una sola exposición puede ser considerable, lo que resalta por qué CISA ha marcado esta vulnerabilidad como una preocupación crítica. Detalles técnicos de CVE-2024-39717 CVE-2024-39717 ha recibido una calificación de 7.2 (alta) de la Base de datos nacional de vulnerabilidades (NVD) del NIST. La vulnerabilidad está categorizada como un problema de carga de archivos sin restricciones, que permite a los usuarios autenticados con privilegios de administrador del centro de datos del proveedor o administrador del sistema del centro de datos del proveedor cargar archivos maliciosos disfrazados de imágenes .png a través de la función «Cambiar favicon». Esta falla afecta a varias versiones de Versa Director: La explotación de esta vulnerabilidad requiere una autenticación y un inicio de sesión exitosos por parte de un atacante con los privilegios adecuados. Una vez explotada, puede generar riesgos de seguridad significativos, incluido el acceso no autorizado y el posible compromiso del sistema. Según la plataforma de escaneo de vulnerabilidades ODIN de Cyble, 31 instancias de Versa Director están expuestas a Internet, 16 de las cuales se encuentran en los Estados Unidos. Esta exposición limitada aún podría generar riesgos de seguridad sustanciales, dado el papel fundamental que desempeña Versa Director en la administración de la red para ISP y MSP. El proveedor ha confirmado que CVE-2024-39717 ha sido explotada en al menos un caso informado por un actor de APT (Amenaza persistente avanzada). Esta explotación fue posible porque el cliente afectado no implementó los requisitos de firewall emitidos en 2015 y las medidas de fortalecimiento del sistema introducidas en 2017. El descuido permitió al atacante explotar la vulnerabilidad sin necesidad de interactuar con la interfaz gráfica de usuario (GUI). Conclusión La vulnerabilidad CVE-2024-39717 en Versa Director representa un riesgo de seguridad significativo para las organizaciones que utilizan soluciones Versa SD-WAN. Si bien la puntuación CVSS indica una gravedad media a alta, el impacto potencial de esta falla no se puede subestimar. Es esencial actuar rápidamente para mitigar el riesgo de explotación, proteger los datos confidenciales y mantener la seguridad general del sistema. Las organizaciones deben seguir las recomendaciones descritas para abordar esta vulnerabilidad de manera eficaz. Mantenerse al día con las actualizaciones de software, aplicar las prácticas de seguridad recomendadas y mantener un monitoreo atento son pasos cruciales para protegerse contra amenazas potenciales. Al tomar estas medidas proactivas, los usuarios pueden ayudar a garantizar que sus sistemas permanezcan seguros y resistentes frente a los desafíos de ciberseguridad. Mitigación y recomendaciones Para mitigar los riesgos asociados con CVE-2024-39717, Cyble recomienda tomar las siguientes medidas: Implementar herramientas avanzadas de análisis de tráfico de red para identificar y responder a actividades sospechosas como acceso no autorizado, movimiento lateral y violaciones de datos. Exigir MFA para todos los usuarios, con un enfoque en aquellos que acceden a los servidores de Versa Director, para protegerse contra el robo de credenciales y el acceso no autorizado. Revisar y verificar regularmente las credenciales de los usuarios y aplicar privilegios de uso mínimo para garantizar que solo las personas autorizadas puedan acceder a los sistemas críticos y a los datos confidenciales. Diseñar e implementar estrategias de segmentación de red para evitar que los atacantes se muevan entre áreas críticas y no críticas y, de ese modo, contener las amenazas potenciales. Asegurarse de que las copias de seguridad críticas del sistema se realicen con regularidad, se almacenen de forma segura y se prueben de forma rutinaria para garantizar su confiabilidad a fin de proteger contra la pérdida de datos y las fallas del sistema. Relacionado