# Versa Networks > SD-WAN / SASE vendor · Sede: San Jose, California, EUA · Presença LATAM: Sim ## Mapa de Risco - Produtos, CVEs e Atores ```mermaid graph TB VERSA["Versa Networks"] --> DIR["Versa Director<br/>Orquestrador SD-WAN"] VERSA --> SDWAN["Versa SD-WAN<br/>Rede definida por software"] VERSA --> SASE["Versa SASE<br/>Secure Access Service Edge"] DIR --> CVE1["CVE-2024-39717<br/>CVSS 6.6 - KEV"] CVE1 --> PORT["Porta 4566<br/>HA Management"] CVE1 --> VMEM["VersaMem<br/>Web Shell JAR"] VMEM --> CRED["Roubo de<br/>Credenciais"] CRED --> SUPPLY["Supply Chain<br/>Clientes downstream"] DIR -.->|alvo| VOLT["Volt Typhoon<br/>Bronze Silhouette"] VOLT -.->|usa| SOHO["SOHO Devices<br/>Comprometidos"] classDef vendor fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef product fill:#2c3e50,color:#fff,stroke:#34495e classDef cve fill:#5a1a1a,color:#fff,stroke:#e74c3c classDef actor fill:#4a3a1a,color:#fff,stroke:#f39c12 classDef malware fill:#3a1a4a,color:#fff,stroke:#9b59b6 class VERSA vendor class DIR,SDWAN,SASE product class CVE1,PORT cve class VOLT,SOHO actor class VMEM,CRED,SUPPLY malware ``` ## Visão Geral **Versa Networks** é uma empresa de segurança de rede especializada em SD-WAN (Software-Defined Wide Area Network) e SASE (Secure Access Service Edge). A empresa fornece plataformas de orquestração e gerenciamento de rede utilizadas por **provedores de serviços de internet (ISPs)** e **provedores de serviços gerenciados (MSPs)** para configurar, implantar e monitorar infraestruturas de rede de seus clientes corporativos. Essa posição central no gerenciamento de redes de terceiros torna o Versa Director um alvo de altíssimo valor estratégico para grupos de espionagem. Em agosto de 2024, pesquisadores do **Black Lotus Labs (Lumen Technologies)** revelaram que o grupo [[g1017-volt-typhoon|Volt Typhoon]] havia explorado como **zero-day** a [[cve-2024-39717|CVE-2024-39717]] no Versa Director desde junho de 2024, implantando o web shell **VersaMem** para roubo de credenciais em ISPs e MSPs americanos - com potencial de comprometimento em cadeia dos clientes downstream. **Dados do vendor:** - Tipo: Security vendor - SD-WAN, SASE, orquestração de rede - Sede: San Jose, California, EUA - Website: https://versa-networks.com - Presença no Brasil/LATAM: Sim - adotado por operadoras de telecom, ISPs e MSPs na região - Principais setores atendidos: [[telecommunications|telecomúnicações]], [[technology|tecnologia]], [[government|governo]], [[critical-infrastructure|infraestrutura crítica]] ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | CVEs | Relevância CTI | |---------|-----------|------|---------------| | [[versa-director\|Versa Director]] | management | 1 | [[cve-2024-39717\|CVE-2024-39717]] - zero-day Volt Typhoon, CISA KEV | | [[versa-sdwan\|Versa SD-WAN]] | network | 0 | Gerenciado via Director - impacto indireto | | [[versa-sase\|Versa SASE]] | sase | 0 | Gerenciado via Director - impacto indireto | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" FROM "market/vendors/versa-networks" WHERE type = "product" SORT length(cves-affecting) DESC ``` %% ## Timeline de Vulnerabilidades <!-- Static table for Obsidian Publish --> | CVE | CVSS | Produto | Exploração | Data | |-----|------|---------|------------|------| | [[cve-2024-39717\|CVE-2024-39717]] | 6.6 | [[versa-director\|Versa Director]] | Ativa - Volt Typhoon zero-day desde jun/2024, CISA KEV | 2024-08-22 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", product AS "Produto", exploit-type AS "Exploração" FROM "vulnerabilities" WHERE contains(vendor, "Versa") SORT patch-date DESC ``` %% A [[cve-2024-39717|CVE-2024-39717]] é uma vulnerabilidade de upload de arquivo perigoso no recurso "Change Favicon" da GUI do Versa Director. Usuários com privilégios `Provider-Data-Center-Admin` ou `Provider-Data-Center-System-Admin` podiam fazer upload de arquivos maliciosos disfarçados de imagens PNG. O [[g1017-volt-typhoon|Volt Typhoon]] explorou a falha via porta 4566 (gerenciamento HA) exposta à internet - uma consequência de clientes que não implementaram as diretrizes de hardening públicadas pela Versa em 2015 e 2017. O web shell **VersaMem** (internamente nomeado `Director_tomcat_memShell`) é um JAR sofisticado que utiliza **Java Instrumentation API** e **Javassist** para injetar código malicioso no processo do Apache Tomcat em memória, interceptando credenciais em plaintext durante o login e permitindo execução de código Java adicional - totalmente em memória, evitando detecção baseada em arquivo. > [!danger] Supply Chain Risk > A arquitetura do ataque é análoga ao [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]]: ao comprometer um Versa Director de ISP/MSP, o [[g1017-volt-typhoon|Volt Typhoon]] obtém acesso autenticado a **todos os clientes** gerenciados por aquele provedor - multiplicando o impacto por dezenas ou centenas de organizações downstream. ## Uso por Atores de Ameaça - [[g1017-volt-typhoon|Volt Typhoon]] (Bronze Silhouette) - grupo APT chinês com suporte estatal, explorou [[cve-2024-39717|CVE-2024-39717]] como zero-day por mais de dois meses antes da divulgação pública; utilizou dispositivos SOHO comprometidos como proxies para mascarar origem; implantou [[s1154-versamem|VersaMem]] web shell para roubo persistente de credenciais; campanha registrada no MITRE ATT&CK como [[versa-director-zero-day-exploitation-c0039|C0039 - Versa Director Zero Day Exploitation]] As técnicas documentadas incluem [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1505-003-web-shell|T1505.003 - Web Shell]], [[t1056-input-capture|T1056 - Input Capture]], [[t1584-008-compromise-network-devices|T1584.008 - Compromise Network Devices]] e [[t1573-002-encrypted-channel|T1573.002 - Encrypted Channel: Asymmetric Cryptography]]. O padrão de tráfego identificado como indicador de comprometimento: sessão TCP curta na porta 4566 (normalmente reservada para pareamento HA entre nós Versa) de dispositivos SOHO, imediatamente seguida por sessões HTTPS extensas na porta 443 - comportamento anômalo para comúnicações legítimas do Versa Director. ## Presença LATAM/Brasil O Versa Networks possui presença no mercado brasileiro de telecomúnicações e serviços gerenciados. ISPs e MSPs brasileiros que utilizam Versa Director para orquestrar a rede de seus clientes corporativos estão potencialmente na superfície de ataque do [[g1017-volt-typhoon|Volt Typhoon]]. **Setores com maior adoção no Brasil:** - [[telecommunications|telecomúnicações]] - operadoras e ISPs que gerenciam SD-WAN de clientes empresariais - [[technology|tecnologia]] - MSPs de TI com carteira de clientes corporativos - [[financial|financeiro]] - bancos e fintechs com redes corporativas distribuídas **Risco LATAM:** Embora os 5 casos documentados pelo Black Lotus Labs sejam todos nos EUA, a natureza da campanha Volt Typhoon - pré-posicionamento estratégico em infraestrutura crítica - e a presença de ISPs/MSPs com Versa Director no Brasil elevam o risco regional. A CISA adicionou ao KEV em agosto de 2024 com urgência de aplicação imediata. **Indicadores de Comprometimento (IoCs):** - Verificar pasta `/var/versa/vnms/web/custom_logo/` por arquivos com extensão `.png` que sejam, na verdade, JARs - Bloquear acesso externo às portas 4566 e 4570 (apenas entre nós Versa para pareamento HA) - Monitorar sessões TCP de dispositivos SOHO à porta 4566 do Versa Director ## Advisories e Recursos - [Versa Networks PSIRT - CVE-2024-39717](https://versa-networks.com/blog/versa-security-bulletin-update-on-CVE-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/) - [Black Lotus Labs - Versa Director Zero-Day](https://blog.lumen.com/uncovering-the-versa-director-zero-day-exploitation/) - [CISA KEV - CVE-2024-39717](https://www.cisa.gov/news-events/alerts/2024/08/23/cisa-adds-one-known-exploited-vulnerability-catalog-versa-networks-director) - [MITRE ATT&CK - C0039 Versa Director Zero Day Exploitation](https://attack.mitre.org/campaigns/C0039/) ## Notas Relacionadas **CVEs:** [[cve-2024-39717|CVE-2024-39717]] **Campanhas:** [[versa-director-zero-day-exploitation-c0039|C0039 - Versa Director Zero Day Exploitation]] **Atores:** [[g1017-volt-typhoon|Volt Typhoon]] · [[bronze-silhouette|Bronze Silhouette]] **Malware:** [[s1154-versamem|VersaMem Web Shell]] **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1056-input-capture|T1056 - Input Capture]] · [[t1584-008-compromise-network-devices|T1584.008 - Compromise Network Devices]] **Setores:** [[telecommunications|telecomúnicações]] · [[technology|tecnologia]] · [[government|governo]] · [[critical-infrastructure|infraestrutura crítica]]