Versa Concerto'da hala açılmamış kritik güvenlik açıkları, uzak saldırganların kimlik doğrulamasını atlamasına ve etkilenen sistemlerde keyfi kod yürütmesine izin verebilir.
İkisi kritik olmak üzere üç güvenlik sorunu, güvenlik açığı yönetim firması proje discovery'deki araştırmacılar tarafından satıcıya rapor verdikten ve ele alınan hataların onaylanmadığını kamuoyuna açıkladı.
Versa Concerto, Versa Networks 'SD-WAN ve SASE (Güvenli Erişim Servisi Edge) çözümleri için merkezi yönetim ve düzenleme platformudur.
Karmaşık WAN ortamlarını yöneten büyük işletmeler, müşterilere yönetilen SD-WAN/SASE hizmetleri sunan telekom operatörleri, güvenli, politika odaklı ağ segmentasyonu ve çok kiracılı dağıtımları işleyen yönetilen güvenlik hizmeti sağlayıcılarına hizmet veren telekom operatörleri kullanılır.
Project Discovery ürünü araştırdı ve aşağıdaki kusurları keşfetti:
Araştırmacılar, CVE-2025-34027'nin saldırılarda nasıl kullanılabileceğini göstermek için bir video oluşturdu:
ProjectDiscovery, 90 günlük açıklama dönemi ile 13 Şubat'ta satıcıya güvenlik açıklarını bildirdi. Versa Networks bulguları kabul eder ve ek ayrıntılar talep eder.
28 Mart'ta Versa Networks, 7 Nisan'da etkilenen tüm sürümler için sıcaklıkların mevcut olacağını belirtti.
Ancak bu tarihten sonra, Versa artık araştırmacıların yamalarla ilgili takip iletişimine yanıt vermedi.
13 Mayıs'ta sona eren 90 günlük açıklama süresi ile ProjectDiscovery, Tehlike'nin Versa Concerto kullanıcılarını uyarmak için dün tüm ayrıntıları yayınlamaya karar verdi.
Resmi bir düzeltme eksikliğinde, Versa Concerto'ya güvenen kuruluşların geçici hafifletmeler uygulanması önerilir. Araştırmacılardan bir öneri, ters proxy veya WAF aracılığıyla URL'lerdeki noktalı virgülleri engellemek ve aktüatör erişim kötüye kullanımını engellemek için 'bağlantı: x-real-ip' ile istekleri düşürmektir.
BleepingComputer, ProjectDiscovery'nin açıkladığı ancak almadığı ancak almadığı güvenlik açıklarının düzeltmelerinin durumu hakkında bir yorum için Versa Networks ile iletişime geçti ve bir cevap aldıktan sonra bu gönderiyi güncelleyeceğiz.
GÜNCELLEME 5/23 - Versa Networks sözcüsü, BleepingComputer'a daha önce söz konusu güvenlik açıkları için düzeltmeler yayınladıklarını söyledi, ancak bu bilgiler araştırmacılara ulaşmadı.
"13 Şubat 2025'te, konçerto yazılım platformumuzda üç güvenlik açığı tanımlandı ve teyit edildi. Standart güvenlik yanıt sürecimizin bir parçası olarak, 7 Mart 2025'te tamamlanan sıcaklıklar geliştirdik ve onaylanmış düzeltmeler ve bu iyileştirmeleri içeren genel olarak mevcut (GA) yazılım sürümü 16 Nisan'da tüm müşterilere sunuldu.
Diyerek şöyle devam etti: "Bu güvenlik açıklarının vahşi doğada kullanıldığına dair bir gösterge yok ve hiçbir müşteri etkisi rapor edilmedi. Etkilenen tüm müşteriler, önerilen güncellemelerin nasıl uygulanacağı konusunda rehberlik ederek yerleşik güvenlik ve destek kanalları aracılığıyla bilgilendirildi." - Versa Networks sözcüsü
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
SAP, şüpheli Netweaver sıfır gününün saldırılarda sömürüldüğünü düzeltiyor
Ivanti, kod yürütme saldırılarına zincirlenmiş EPMM sıfır günlerini düzeltiyor
Fortinet, Fortivoice saldırılarında kritik sıfır gün sömürülür
Asus DriverHub Kususu Kötü niyetli sitelerin yönetici haklarıyla komutları çalıştırmasına izin verin
Casusluk saldırılarında sıfır gün olarak sömürülen çıktı messenger kusuru
Kaynak: Bleeping Computer