CVE-2024-42450

Versões do Versa Director anteriores à 22.1.4

O problema está relacionado ao uso de credenciais padrão na configuração com o PostgreSQL, permitindo que um invasor não autenticado acesse e administre o banco de dados, leia o conteúdo do sistema de arquivos local e, potencialmente, obtenha privilégios elevados no sistema. A configuração padrão do Versa Director configura o Postgres para escutar em todas as interfaces de rede, o que contribui para a vulnerabilidade. Existe uma prova de conceito em ambiente de laboratório, mas a Versa Networks não tem conhecimento dessa exploração em nenhum sistema de produção. Mais de 1.000 resultados foram encontrados, indicando um potencial impacto generalizado.

Para versões anteriores à 22.1.4, execute o fortalecimento manual das portas HA seguindo as etapas fornecidas na documentação da Versa Networks. A partir da versão 22.1.4, o software restringe automaticamente o acesso às portas Postgres e HA apenas aos Versa Directors locais e pares. Como solução alternativa temporária, considere restringir o acesso ao banco de dados Postgres e às portas HA para minimizar o risco de exploração.