Centenas de servidores Versa expostos – quatro no Brasil

A Censys, plataforma de busca de dispositivos conectados à Internet, compartilhou ontem resultados de consultas de pesquisa mostrando centenas de servidores Versa Director expostos e possivelmente vulneráveis nos EUA, Filipinas, China, Índia e até no Brasil – dork: (services.software: (vendor: Versa and product: Director)) and location.country=Brazil) – e pediu às organizações que isolem esses dispositivos da internet imediatamente. Não está claro quantos desses dispositivos expostos estão desatualizados ou ainda não implementaram as diretrizes de hardening do sistema. A Versa afirma que as más configurações do firewall são as culpadas pelo problema. Mas como esses servidores são tipicamente usados por provedores de internet e de serviços gerenciados (ISPs e MSPs), a escala da exposição é considerada enorme.

Os servidores Versa Director são usados para gerenciar configurações de rede para clientes que executam software SD-WAN e são amplamente utilizados por ISPs e MSPs, tornando-os um alvo crítico e atraente para atores de ameaças que buscam expandir seu alcance dentro do gerenciamento de redes corporativas.

Ainda mais preocupante, mais de 24 horas após a divulgação do zero-day, os produtos anti-malware estão muito lentos em fornecer detecções para VersaTest.png, o webshell personalizado VersaMem usado nos ataques do grupo Volt Typhoon, que se supõe ser patrocinado pelo estado chinês.

Embora a vulnerabilidade seja considerada difícil de explorar, a Versa Networks disse que atribuiu uma classificação de “alta gravidade” ao bug que afeta todos os clientes da Versa SD-WAN que usam o Versa Director e que não implementaram as diretrizes de endurecimento do sistema e do firewall.

O zero-day foi detectado por caçadores de malware da Black Lotus Labs, o braço de pesquisa da Lumen Technologies. A falha, rastreada como CVE-2024-39717, foi adicionada ao catálogo de vulnerabilidades conhecidas exploradas pela CISA durante o fim de semana.