# CVE-2024-39717 > [!high] Upload de Arquivo no Versa Director - Explorado pelo Volt Typhoon (APT chinês) > Vulnerabilidade de upload irrestrito de arquivo no painel GUI do Versa Director permite que atacantes autenticados com privilégios elevados implantem webshells. Explorada ativamente pelo grupo de espionagem **Volt Typhoon** (APT vinculado à China) para comprometimento de provedores de serviços de rede e ISPs. ## Visão Geral [[cve-2024-39717|CVE-2024-39717]] afeta o Versa Director, plataforma de orquestração SD-WAN e SASE amplamente utilizada por provedores de serviços de internet (ISPs), operadoras de telecomúnicações e grandes empresas. A falha de upload irrestrito de arquivo permite que um administrador autenticado faça upload de arquivos com extensões arbitrárias, incluindo webshells PHP/JSP, que são então executados no servidor. O grupo [[g1017-volt-typhoon|Volt Typhoon]], APT da República Popular da China com foco em infraestrutura crítica americana e ocidental, foi formalmente atribuído à exploração desta vulnerabilidade pelo CISA, NSA e FBI em agosto de 2024. O Versa Director é um alvo estratégico: comprometi-lo dá ao atacante visibilidade e controle sobre toda a infraestrutura SD-WAN do provedor de serviços, afetando potencialmente milhares de clientes downstream. Para operadoras de telecomúnicações e provedores de internet da América Latina - incluindo os principais ISPs brasileiros que utilizam Versa Networks para suas redes SD-WAN - esta vulnerabilidade representa um risco de comprometimento em cadeia com impacto em múltiplos clientes corporativos. > [!latam] Relevância LATAM > Provedores de internet e operadoras de telecomúnicações brasileiras e latino-americanas que utilizam Versa Director para gerenciamento SD-WAN devem verificar urgentemente a versão do produto e aplicar o patch. O Volt Typhoon tem interesse documentado em infraestrutura de telecomúnicações como pré-posicionamento estratégico. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Unrestricted File Upload (CWE-434) | | Componente | Versa Director GUI (interface de gerenciamento) | | Pré-requisito | Conta com permissões de Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin | | Impacto | Webshell, RCE, acesso persistente ao plano de controle SD-WAN | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do painel Versa Director exposto - [[t1505-003-web-shell|T1505.003]] - Webshell no servidor Versa Director - [[t1078-valid-accounts|T1078]] - Contas de administrador comprometidas como pré-requisito - [[t1590-gather-victim-network-information|T1590]] - Reconhecimento de infraestrutura SD-WAN das vítimas downstream ## Detecção e Defesa **Mitigação primária:** Atualizar Versa Director para versão 22.1.4 ou 21.2.3 conforme advisory. **Hardening recomendado pelo CISA:** - Restringir acesso à porta 4566 (GUI administrativa) por ACL de rede - Não expor o painel de gerenciamento Versa diretamente à internet - Auditar diretório de uploads do Versa Director para webshells **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - Interface de gestão Versa em segmento isolado - [[m1026-privileged-account-management|M1026]] - MFA para contas de administrador Versa - [[m1051-update-software|M1051]] - Patch Versa Director urgentemente ## Referências - [CISA Advisory - Volt Typhoon Versa Director](https://www.cisa.gov/news-events/cybersecurity-advisories) - [Versa Networks Security Advisory](https://versa-networks.com/security) - [Black Lotus Labs - Volt Typhoon Versa Director](https://blog.lumen.com)