versa-director - RunkIntel

# Versa Director > Orquestrador SD-WAN · [[_versa-networks|Versa Networks]] · Versão segura: 22.1.4+ ## Visão Geral O **Versa Director** é o componente central de gerenciamento, monitoramento e orquestração da plataforma SD-WAN da [[_versa-networks|Versa Networks]]. Utilizado principalmente por ISPs e MSPs para configurar e supervisionar as redes de seus clientes corporativos, o Director é o ponto de controle que gerencia toda a topologia SD-WAN - tornando-o um alvo estratégico de altíssimo valor para grupos de espionagem. A posição do Versa Director como orquestrador de redes de terceiros significa que um comprometimento bem-sucedido não afeta apenas o provedor diretamente, mas potencialmente dezenas ou centenas de empresas clientes - um vetor de ataque de cadeia de suprimentos análogo ao [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]]. ## Vulnerabilidades | CVE | CVSS | Tipo | Privilégio necessário | Exploração | |-----|------|------|----------------------|------------| | [[cve-2024-39717\|CVE-2024-39717]] | 6.6 | Upload de arquivo perigoso | Provider-Data-Center-Admin | Ativa - Volt Typhoon, CISA KEV | ## CVE-2024-39717 - Detalhes Técnicos O recurso "Change Favicon" na GUI do Versa Director permitia upload de arquivos maliciosos disfarçados como imagens PNG. O [[g1017-volt-typhoon|Volt Typhoon]] explorou a porta de gerenciamento HA (4566) exposta à internet para obter acesso inicial, seguido de deploy do web shell [[s1154-versamem|VersaMem]]. **Versões afetadas:** - 21.2.2: todas as versões - 21.2.3: anterior ao hotfix de 21/06/2024 - 22.1.1: todas as versões (upgrade necessário) - 22.1.2: anterior ao hotfix de 21/06/2024 - 22.1.3: anterior ao hotfix de 21/06/2024 **Versão corrigida:** 22.1.4 e posteriores ## Hardening Obrigatório 1. Bloquear acesso externo às portas **4566** e **4570** (apenas trafego entre nós Versa) 2. Verificar pasta `/var/versa/vnms/web/custom_logo/` por arquivos suspeitos 3. Executar `file -b --mime-type <arquivo.png>` - deve retornar `image/png`, se retornar `application/java-archive` indica comprometimento > [!latam] Relevância para Brasil e LATAM > O Versa Director é utilizado por ISPs e MSPs brasileiros que oferecem serviços SD-WAN gerenciados para clientes corporativos. O comprometimento do Versa Director pelo Volt Typhoon - grupo de espionagem alinhado à China com histórico de pré-posicionamento em infraestrutura crítica - tem implicações diretas para operadoras de telecomúnicações e provedores de redes corporativas no Brasil. O padrão de ataque em cadeia de suprimentos (comprometer o orquestrador para acessar os clientes) é especialmente preocupante para o ecossistema de MSSPs brasileiros que gerenciam redes de múltiplos clientes. ## Notas Relacionadas **Vendor:** [[_versa-networks|Versa Networks]] **CVEs:** [[cve-2024-39717|CVE-2024-39717]] **Malware:** [[s1154-versamem|VersaMem Web Shell]] **Atores:** [[g1017-volt-typhoon|Volt Typhoon]] **Campanhas:** [[versa-director-zero-day-exploitation-c0039|C0039 - Versa Director Zero Day Exploitation]]