CISA 敦促联邦机构在 9 月之前修复 Versa Director 漏洞

美国网络安全和基础设施安全局 (CISA)根据主动利用的证据，将影响 Versa Director 的安全漏洞列入其已知被利用漏洞 ( KEV )目录。

该中等严重性漏洞的编号为CVE-2024-39717（CVSS 评分：6.6），是影响“更改图标”功能的文件上传错误，可能允许威胁行为者通过将其伪装成看似无害的 PNG 图像文件来上传恶意文件。

CISA 在一份公告中表示：“Versa Director GUI 包含一个不受限制的危险类型文件上传漏洞，允许具有 Provider-Data-Center-Admin 或 Provider-Data-Center-System-Admin 权限的管理员自定义用户界面。”

“‘更改收藏夹图标’ (Favorite Icon) 可以上传 .png 文件，攻击者可以利用该文件上传伪装成图像的带有 .PNG 扩展名的恶意文件。”

但是，只有具有 Provider-Data-Center-Admin 或 Provider-Data-Center-System-Admin 权限的用户成功通过身份验证并登录后，才有可能成功利用该漏洞。

虽然 CVE-2024-39717 被利用的具体情况尚不清楚，但 NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述指出，Versa Networks 知道一个确认的客户成为攻击目标的实例。

描述指出：“该客户没有实施 2015 年和 2017 年发布的防火墙指南。” “这种不实施导致不良行为者无需使用 GUI 即可利用此漏洞。”

联邦民事行政部门 (FCEB) 机构必须在 2024 年 9 月 13 日之前采取措施，通过应用供应商提供的修复程序来防止该漏洞。

就在几天前，CISA在其 KEV 目录中添加了2021 年和 2022 年的四个安全缺陷 -

CVE-2021-33044（CVSS 评分：9.8）- 大华 IP 摄像机身份验证绕过漏洞

CVE-2021-33045（CVSS 评分：9.8）- 大华 IP 摄像机身份验证绕过漏洞

CVE-2021-31196（CVSS 评分：7.2）- Microsoft Exchange Server 信息泄露漏洞

CVE-2022-0185（CVSS 评分：8.4）- Linux 内核基于堆的缓冲区溢出漏洞

值得注意的是，今年 3 月初，代号为 UNC5174（又名 Uteus 或 Uetus）的中国威胁行为者被归咎于谷歌旗下的 Mandiant 对 CVE-2022-0185 的利用。

CVE-2021-31196最初 是作为大量 Microsoft Exchange Server 漏洞的一部分披露的，这些漏洞统称为 ProxyLogon、ProxyShell、ProxyToken 和 ProxyOracle。

OP Innovate表示： “CVE-2021-31196 已在主动攻击活动中被发现，其中威胁行为者以未打补丁的 Microsoft Exchange Server 实例为目标。” “这些攻击通常旨在获取对敏感信息的未经授权的访问、提升权限或部署进一步的有效载荷，例如勒索软件或恶意软件。”