Bastaron tres 0Day para convertir Versa Concerto en una herramienta de toma de control de sistemas de comunicación

En las redes de grandes empresas de telecomunicaciones con acceso directo a internet se descubrieron tres vulnerabilidades de día cero que podrían haber permitido a los atacantes tomar el control total de sistemas clave. Los problemas afectaron a Concerto, la capa de orquestación de la plataforma Versa Networks, ubicada por encima de Director, que gestiona las soluciones SD-WAN y SASE.

Versa Networks, fundada hace 12 años, es un actor destacado en el mercado de acceso seguro a redes y redes definidas por software. Se ha consolidado como un socio confiable para grandes organizaciones y, al mismo tiempo, como un objetivo para hackers de alto nivel. El año pasado, el grupo Volt Typhoon, vinculado al gobierno chino, aprovechó una vulnerabilidad en Versa Director para llevar a cabo un ataque.

Los especialistas de ProjectDiscovery descubrieron tres vulnerabilidades de día cero en el módulo Concerto. Todas fueron corregidas, pero la amenaza persistía para aquellas empresas que habían expuesto sus instancias de Concerto a internet. Se publicaron los parches correspondientes, pero su instalación depende de cada cliente.

La primera vulnerabilidad fue identificada como CVE-2025-34025 y recibió una puntuación de 8.6 en la escala CVSS. El problema se debía a una configuración incorrecta del contenedor Docker, que provocaba que dos de sus directorios tuvieran acceso directo al sistema de archivos del host. Esto permitía a un atacante ejecutar un script malicioso a nivel del sistema, logrando así escapar del contenedor y elevar privilegios.

La segunda vulnerabilidad, CVE-2025-34026, fue calificada como crítica con una puntuación de 9.2. Estaba relacionada con la forma en que la aplicación Concerto interactuaba con el contenedor Traefik, encargado de redirigir el tráfico entrante. Traefik añadía una cabecera X-Real-Ip, que se utilizaba para filtrar peticiones sospechosas. Sin embargo, los especialistas descubrieron cómo eliminar esta cabecera, lo que permitía evadir el filtrado y acceder a información sensible, incluyendo contraseñas en texto claro y tokens de sesión.

La vulnerabilidad más grave fue CVE-2025-34027, con la puntuación máxima de 10.0. Se trataba de una cadena de fallos que incluía un error TOCTOU (comprobación vs uso), fallos en la gestión de paquetes cargados y una condición de carrera que permitía la inyección y ejecución de código malicioso. En conjunto, estas fallas permitían a un atacante ejecutar código arbitrario de forma invisible.

Según ProjectDiscovery, si un atacante lograba ejecutar código o acceder al panel de administración, podría expandirse a otros componentes conectados, incluido Versa Director, y extraer datos confidenciales como contraseñas de Active Directory o cuentas internas de proxy.

Un consuelo es que solo unas pocas docenas de organizaciones tenían instancias vulnerables de Concerto accesibles desde internet. No obstante, todas eran grandes empresas de telecomunicaciones, lo que atrajo la atención de grupos como Volt Typhoon.

ProjectDiscovery informó de las vulnerabilidades a Versa Networks el 13 de febrero. La comunicación entre ambas partes se interrumpió en abril y mayo, lo que llevó a un informe erróneo el 21 de mayo sobre la supuesta ausencia de parches. Sin embargo, Versa confirmó posteriormente que los "parches rápidos" estuvieron listos el 7 de marzo y una actualización completa el 16 de abril.

En una declaración oficial, la empresa afirmó que todos los clientes recibieron notificaciones a través de los canales de soporte y seguridad. Parte de los usuarios ya aplicó las actualizaciones, aunque Versa reconoció que algunas instalaciones siguen en proceso. Hasta el momento, no se ha registrado ninguna explotación de estas vulnerabilidades en ataques reales.