Diese Schwachstelle hat den maximalen CVSS-Wert von 10 erhalten, was ihren kritischen Schweregrad unterstreicht. Es handelt sich um eine Schwachstelle, die einen nicht authentifizierten Zugriff ermöglicht, was das Risiko einer Ausnutzung erheblich erhöht. Da Versa Director ein Ziel mit hohem Wert darstellt, wurde es in der Vergangenheit bereits von böswilligen Akteuren angegriffen.
| Produkt | Versa Director |
| Datum | 25.11.2024 16:31:23 |
| Informationen |
|
Technische Zusammenfassung
Versa Director verwendet PostgreSQL (Postgres), um Betriebs- und Konfigurationsdaten zu speichern und Funktionen für Hochverfügbarkeit (HA) zu ermöglichen. Die Standardkonfiguration von Versa Director enthält jedoch ein Passwort, das für alle Instanzen identisch ist, und konfiguriert Postgres so, dass es auf allen Netzwerkschnittstellen lauscht.
Dies führt zu einer schwerwiegenden Sicherheitslücke, durch die ein nicht authentifizierter Angreifer:
- Auf die Datenbank zugreifen und diese verwalten kann;
- Den Inhalt des lokalen Dateisystems lesen kann;
- Privilegien auf dem System eskalieren kann.
Empfehlungen
Ab der neuesten Version 22.1.4 von Versa Director beschränkt die Software den Zugriff auf Postgres- und HA-Ports automatisch nur auf lokale Versa Director-Instanzen und Peers. Für ältere Versionen empfiehlt Versa eine manuelle Härtung der HA-Ports. Bitte beachten Sie den folgenden Link für die erforderlichen Schritte: SecureHAPorts.
[Callforaction-THREAT-Footer]
Leave a Reply