Esta vulnerabilidad ha recibido la puntuación CVSS máxima de 10, lo que subraya su gravedad crítica. Se trata de una vulnerabilidad de acceso no autenticado, lo que aumenta considerablemente el riesgo de explotación. Versa Director, al ser un objetivo de alto valor, ya ha sido explotado en el pasado por actores maliciosos.
| Producto | Versa Director |
| Fecha | 2024-11-25 16:31:23 |
| Información |
|
Resumen técnico
Versa Director utiliza PostgreSQL (Postgres) para almacenar datos operativos y de configuración, así como para habilitar funciones de Alta Disponibilidad (HA). Sin embargo, la configuración predeterminada de Versa Director incluye una contraseña compartida entre todas las instancias y configura Postgres para escuchar en todas las interfaces de red.
Esto crea una grave vulnerabilidad en la que un atacante no autenticado podría:
- Acceder y administrar la base de datos;
- Leer los contenidos del sistema de archivos local;
- Escalar privilegios en el sistema.
Recomendaciones
A partir de la versión más reciente 22.1.4 de Versa Director, el software limitará automáticamente el acceso a los puertos de Postgres y HA solo a los Versa Director locales y pares. Para las versiones anteriores, Versa recomienda realizar un endurecimiento (hardening) manual de los puertos HA. Por favor, consulte el siguiente enlace para conocer los pasos a seguir: SecureHAPorts.
[Callforaction-THREAT-Footer]