Três vulnerabilidades de dia zero foram suficientes para transformar o Versa Concerto em uma ferramenta potencial de controle total sobre sistemas de comunicação de grandes operadoras. Os problemas afetaram a camada de orquestração Concerto da plataforma Versa Networks, usada em soluções SD-WAN e SASE, com cópias acessíveis diretamente pela Internet.
Leia também
App Store promoverá apps de desenvolvedores
Pacote PyPi malicioso rouba credenciais de devs
As falhas foram descobertas por pesquisadores do ProjectDiscovery e já foram corrigidas, mas dependem da aplicação manual dos patches pelos clientes. A primeira vulnerabilidade (CVE-2025-34025, pontuação CVSS 8,6) envolvia um erro na configuração de contêineres Docker, permitindo que scripts maliciosos escapassem para o sistema do host. A segunda falha (CVE-2025-34026, CVSS 9,2) permitia a remoção de cabeçalhos usados para filtrar requisições, expondo dados sensíveis como senhas e tokens. A terceira (CVE-2025-34027, CVSS 10,0) envolvia uma cadeia de erros que resultava na execução remota de código com privilégios elevados.
Segundo os analistas, com esse nível de acesso, um atacante poderia comprometer o Versa Director e obter credenciais internas, como senhas do Active Directory e dados de proxies. As instâncias expostas afetavam principalmente grandes empresas de telecomunicações — um cenário atraente para grupos avançados como o Volt Typhoon, vinculado ao governo chinês.
A ProjectDiscovery notificou a Versa em fevereiro, mas problemas de comunicação geraram confusão sobre a disponibilidade dos patches. A empresa afirmou que hotfixes foram publicados em 7 de março e a atualização completa em 16 de abril. Apesar de algumas instalações ainda estarem em andamento, não há relatos de exploração ativa até o momento.
