# CVE-2025-3402 - Versa Concerto SD-WAN Bypass de Autenticação (CVSS 9.2) > [!critical] CVSS 9.2 - CISA KEV - Exploração Ativa Confirmada > Vulnerabilidade crítica de controle de acesso inadequado no Versa Concerto SD-WAN que permite a atacantes remotos não autenticados acessar funcionalidades administrativas e executar código arbitrário. Adicionada ao CISA KEV em 22 de janeiro de 2025, confirmando exploração ativa em produção. ## Visão Geral CVE-2025-3402 é uma vulnerabilidade crítica de controle de acesso inadequado (CVSS 9.2) no Versa Concerto, a plataforma de orquestração SD-WAN (Software-Defined Wide Area Network) da Versa Networks. A falha permite que atacantes remotos não autenticados contornem os controles de autenticação e acessem endpoints administrativos protegidos da plataforma, podendo resultar em execução remota de código e comprometimento total da infraestrutura de rede gerenciada. A gravidade desta vulnerabilidade é amplificada pelo papel crítico que o Versa Concerto desempenha na infraestrutura corporativa: como orquestrador central de redes SD-WAN, um comprometimento bem-sucedido oferece visibilidade e controle sobre toda a malha de rede distribuída de uma organização - incluindo políticas de roteamento, segmentação de rede e configurações de segurança. Esse acesso privilegiado transforma a CVE-2025-3402 em um vetor de entrada de alto valor para grupos de ameaça com foco em espionagem e disrução de infraestrutura. A adição ao catálogo CISA Known Exploited Vulnerabilities (KEV) em 22 de janeiro de 2025 indica exploração confirmada contra organizações reais, exigindo que agências federais norte-americanas aplicassem o patch até 12 de fevereiro de 2025. Organizações fora do escopo federal que usam Versa Concerto devem tratar esta vulnerabilidade com a mesma urgência dado o perfil de risco. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Fix Disponível | |--------|---------|----------------|----------------| | Versa Networks | Versa Concerto (on-premises) | Antes de jan/2025 | Atualização jan/2025 | | Versa Networks | Versa Concerto (cloud-hosted) | Instâncias não atualizadas | Contatar suporte Versa | ## Detalhes Técnicos A vulnerabilidade decorre de controle de acesso inadequado nos endpoints da interface de gerenciamento web do Versa Concerto. Atacantes não autenticados conseguem acessar funcionalidades que deveriam exigir credenciais administrativas válidas, possívelmente através de falhas na válidação de tokens de sessão, bypass de middleware de autenticação ou endpoints não protegidos expostos na superfície de ataque. O impacto em caso de exploração bem-sucedida inclui: - **Acesso administrativo não autorizado** - controle total do orquestrador Concerto - **Exfiltração de configurações** - políticas de rede, credenciais de dispositivos gerenciados - **Modificação de roteamento** - redirecionamento de tráfego corporativo para infraestrutura controlada pelo atacante - **Execução de código remoto** - comprometimento do servidor que hospeda o Concerto - **Pivotamento lateral** - uso do orquestrador como ponto de entrada para a rede interna **Relação com CVE-2025-34026:** Esta CVE compartilha a mesma família de produto (Versa Concerto) com a [[cve-2025-34026|CVE-2025-34026]] (CVSS 9.2, autenticação bypass via Traefik). Ambas foram exploradas ativamente em campanhas sobrepostas. Organizações com Versa Concerto devem tratar ambas como parte do mesmo ciclo de remediação. ## Mitigação **Ação imediata:** - Aplicar atualização do Versa Concerto disponibilizada em janeiro de 2025 - Contatar suporte da Versa Networks para confirmar versão corrigida específica **Controles compensatórios (enquanto o patch é aplicado):** - Isolar a interface de gerenciamento do Concerto em VLAN separada sem acesso externo - Implementar autenticação multifator (MFA) para todos os acessos administrativos - Monitorar e alertar para acessos não habituais à interface de gerenciamento - Revisar logs de acesso para atividade suspeita em períodos anteriores ao patch **Verificação de comprometimento:** - Auditar contas administrativas criadas ou modificadas recentemente - Revisar configurações de roteamento e políticas para alterações não autorizadas - Verificar conexões de saída da instância Concerto para IPs externos desconhecidos - Analisar logs de acesso à API de gerenciamento para padrões de bypass de autenticação > [!latam] Relevância LATAM/Brasil > Redes SD-WAN da Versa Networks têm adoção crescente em operadoras de telecomúnicações e grandes empresas brasileiras que operam redes distribuídas nacionais. Setores como varejo com múltiplas filiais, serviços financeiros com agências regionais e governo com unidades distribuídas são os principais usuários de soluções SD-WAN no Brasil. O comprometimento de um orquestrador Concerto em uma dessas organizações ofereceria acesso privilegiado a toda a infraestrutura de rede distribuída, tornando esta CVE de alto interesse para grupos de espionagem com foco em infraestrutura crítica brasileira. ## Referências - [NVD - CVE-2025-3402](https://nvd.nist.gov/vuln/detail/CVE-2025-3402) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Versa Networks Security Portal](https://security-portal.versa-networks.com) ## Notas Relacionadas **CVE relacionada (mesma plataforma):** [[cve-2025-34026|CVE-2025-34026]] · [[cve-2025-34025|CVE-2025-34025]] · [[cve-2025-34027|CVE-2025-34027]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1046-network-service-scanning|T1046 - Network Service Scanning]] **Setores em risco:** [[telecommunications|telecomúnicações]] · [[financial|financeiro]] · [[critical-infrastructure|infraestrutura crítica]] · [[government|governo]]