Хватило трёх 0Day, чтобы превратить Versa Concerto в инструмент для захвата систем связи
NewsMakerЗаголовок, декодирование и контейнер — и вы уже внутри сети.
В сетях крупных телекоммуникационных компаний, имеющих прямой выход в интернет, были обнаружены три уязвимости нулевого дня, которые могли позволить злоумышленникам получить полный контроль над ключевыми системами. Проблемы затронули Concerto — оркестрационный слой платформы Versa Networks, расположенный над Director, управляющим решениями SD-WAN и SASE.
Versa Networks, основанная 12 лет назад, является заметным игроком на рынке безопасного сетевого доступа и программно-определяемых сетей. Она успела зарекомендовать себя как надёжный партнёр для крупных организаций и одновременно — как цель для высокоуровневых хакеров . Так, в прошлом году группировка Volt Typhoon, связанная с правительством Китая, воспользовалась уязвимостью в Versa Director для атаки.
Специалисты ProjectDiscovery нашли три уязвимости нулевого дня в модуле Concerto. Все они были устранены, однако угроза сохранялась для тех компаний, которые открыли свои экземпляры Concerto в интернет. Исправления были выпущены, но установка обновлений остаётся задачей самих клиентов.
Первая уязвимость получила идентификатор CVE-2025-34025 и оценку 8.6 по шкале CVSS. Проблема заключалась в неправильной настройке контейнера Docker, из-за чего два его каталога напрямую соприкасались с файловой системой хоста. Это позволяло злоумышленнику инициировать выполнение вредоносного скрипта на уровне всей системы, получив тем самым возможность выйти за пределы контейнера и повысить привилегии.
Вторая проблема, CVE-2025-34026 , получила уже критическую оценку — 9.2 балла. Она была связана с тем, как приложение Concerto взаимодействует с контейнером Traefik, направляющим входящий трафик. Traefik добавлял заголовок X-Real-Ip, который использовался для фильтрации подозрительных запросов. Однако специалисты выяснили, как можно удалить этот заголовок, тем самым обойдя проверку и получив доступ к чувствительной информации, включая пароли в открытом виде и токены сессий.
Самой серьёзной оказалась уязвимость CVE-2025-34027 с максимальной оценкой 10.0. Она представляла собой цепочку из нескольких багов: сначала — ошибка типа TOCTOU (рассогласование проверки и использования), затем — сбой в обработке загружаемых пакетов, и, наконец, — гонка потоков, позволяющая внедрить и выполнить вредоносный код. Всё это в сумме позволяло атакующему незаметно выполнить произвольный код в системе.
По словам ProjectDiscovery, получив возможность выполнения кода или доступ к панели администратора, злоумышленник мог бы распространиться и на другие связанные компоненты, включая Versa Director, а также извлечь конфиденциальные данные, например, пароли от Active Directory или внутренние прокси-учётные записи.
Утешает то, что уязвимые экземпляры Concerto в интернете оказались всего у нескольких десятков организаций. Однако все они представляли собой крупные телеком-компании, что и привлекло внимание таких групп, как Volt Typhoon.
Проект ProjectDiscovery сообщил об уязвимостях Versa Networks ещё 13 февраля. Связь между компаниями прервалась в апреле и мае, что привело к ошибочному сообщению 21 мая о якобы отсутствии исправлений. Тем не менее, как позже подтвердили в Versa, «горячие» исправления были готовы к 7 марта, а полноценное обновление — 16 апреля.
В официальном заявлении компания указала , что все клиенты получили уведомления через каналы поддержки и безопасности. Часть пользователей уже установила обновление, хотя, по признанию Versa, часть установок всё ещё находится в процессе. При этом ни одного факта эксплуатации уязвимостей в реальных атаках зафиксировано не было.
В сетях крупных телекоммуникационных компаний, имеющих прямой выход в интернет, были обнаружены три уязвимости нулевого дня, которые могли позволить злоумышленникам получить полный контроль над ключевыми системами. Проблемы затронули Concerto — оркестрационный слой платформы Versa Networks, расположенный над Director, управляющим решениями SD-WAN и SASE.
Versa Networks, основанная 12 лет назад, является заметным игроком на рынке безопасного сетевого доступа и программно-определяемых сетей. Она успела зарекомендовать себя как надёжный партнёр для крупных организаций и одновременно — как цель для высокоуровневых хакеров . Так, в прошлом году группировка Volt Typhoon, связанная с правительством Китая, воспользовалась уязвимостью в Versa Director для атаки.
Специалисты ProjectDiscovery нашли три уязвимости нулевого дня в модуле Concerto. Все они были устранены, однако угроза сохранялась для тех компаний, которые открыли свои экземпляры Concerto в интернет. Исправления были выпущены, но установка обновлений остаётся задачей самих клиентов.
Первая уязвимость получила идентификатор CVE-2025-34025 и оценку 8.6 по шкале CVSS. Проблема заключалась в неправильной настройке контейнера Docker, из-за чего два его каталога напрямую соприкасались с файловой системой хоста. Это позволяло злоумышленнику инициировать выполнение вредоносного скрипта на уровне всей системы, получив тем самым возможность выйти за пределы контейнера и повысить привилегии.
Вторая проблема, CVE-2025-34026 , получила уже критическую оценку — 9.2 балла. Она была связана с тем, как приложение Concerto взаимодействует с контейнером Traefik, направляющим входящий трафик. Traefik добавлял заголовок X-Real-Ip, который использовался для фильтрации подозрительных запросов. Однако специалисты выяснили, как можно удалить этот заголовок, тем самым обойдя проверку и получив доступ к чувствительной информации, включая пароли в открытом виде и токены сессий.
Самой серьёзной оказалась уязвимость CVE-2025-34027 с максимальной оценкой 10.0. Она представляла собой цепочку из нескольких багов: сначала — ошибка типа TOCTOU (рассогласование проверки и использования), затем — сбой в обработке загружаемых пакетов, и, наконец, — гонка потоков, позволяющая внедрить и выполнить вредоносный код. Всё это в сумме позволяло атакующему незаметно выполнить произвольный код в системе.
По словам ProjectDiscovery, получив возможность выполнения кода или доступ к панели администратора, злоумышленник мог бы распространиться и на другие связанные компоненты, включая Versa Director, а также извлечь конфиденциальные данные, например, пароли от Active Directory или внутренние прокси-учётные записи.
Утешает то, что уязвимые экземпляры Concerto в интернете оказались всего у нескольких десятков организаций. Однако все они представляли собой крупные телеком-компании, что и привлекло внимание таких групп, как Volt Typhoon.
Проект ProjectDiscovery сообщил об уязвимостях Versa Networks ещё 13 февраля. Связь между компаниями прервалась в апреле и мае, что привело к ошибочному сообщению 21 мая о якобы отсутствии исправлений. Тем не менее, как позже подтвердили в Versa, «горячие» исправления были готовы к 7 марта, а полноценное обновление — 16 апреля.
В официальном заявлении компания указала , что все клиенты получили уведомления через каналы поддержки и безопасности. Часть пользователей уже установила обновление, хотя, по признанию Versa, часть установок всё ещё находится в процессе. При этом ни одного факта эксплуатации уязвимостей в реальных атаках зафиксировано не было.