CVE-2024-42450
CriticalSummary
Versa Director wykorzystuje PostgreSQL do przechowywania danych operacyjnych i konfiguracyjnych, a domyślna konfiguracja ma wspólne hasło dla wszystkich instancji. Dodatkowo, PostgreSQL jest skonfigurowany do nasłuchiwania na wszystkich interfejsach sieciowych, co umożliwia nieautoryzowanemu atakującemu dostęp do bazy danych oraz eskalację uprawnień.
Risk Assessment
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do bazy danych oraz potencjalnej eskalacji uprawnień, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji 22.1.4 Versa Director, która automatycznie ogranicza dostęp do portów Postgres i HA. Dla starszych wersji należy przeprowadzić ręczne wzmocnienie zabezpieczeń portów HA.
Original NVD description (English source)
The Versa Director uses PostgreSQL (Postgres) to store operational and configuration data. It is also needed for High Availability function of the Versa Director. The default configuration has a common password across all instances of Versa Director. By default, Versa Director configures Postgres to listen on all network interfaces. This combination allows an unauthenticated attacker to access and administer the database or read local filesystem contents to escalate privileges on the system. Exploitation Status: Versa Networks is not aware of this exploitation in any production systems. A proof of concept exists in the lab environment. Workarounds or Mitigation: Starting with the latest 22.1.4 version of Versa Director, the software will automatically restrict access to the Postgres and HA ports to only the local and peer Versa Directors. For older releases, Versa recommends performing manual hardening of HA ports. Please refer to the following link for the steps https://docs.versa-

