Οι χάκερ εκμεταλλεύονται την κρίσιμη αλυσίδα σφαλμάτων Juniper RCE μετά την κυκλοφορία του PoC
Οι χάκερ χρησιμοποιούν μια κρίσιμη αλυσίδα εκμετάλλευσης για να στοχεύσουν διακόπτες Juniper EX και τείχη προστασίας SRX μέσω της διεπαφής διαμόρφωσης J-Web που εκτίθεται στο Διαδίκτυο.
Η επιτυχής εκμετάλλευση επιτρέπει στους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν εξ αποστάσεως κώδικα σε μη επιδιορθωμένες
συσκευές
.
“Με ένα συγκεκριμένο αίτημα που δεν απαιτεί έλεγχο ταυτότητας, ένας εισβολέας είναι σε θέση να ανεβάσει αυθαίρετα αρχεία μέσω του J-Web, οδηγώντας σε απώλεια ακεραιότητας για ένα συγκεκριμένο τμήμα του συστήματος αρχείων, το οποίο μπορεί να επιτρέψει τη σύνδεση σε άλλα τρωτά σημεία,” Juniper
λέει.
Μία εβδομάδα αφότου η Juniper αποκάλυψε και κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει τα τέσσερα ελαττώματα που μπορούν να συνδεθούν για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα, οι ερευνητές ασφαλείας της WatchTowr Labs κυκλοφόρησαν ένα exploit απόδειξης της ιδέας (PoC) που στοχεύει τα σφάλματα του τείχους προστασίας SRX (που παρακολουθείται ως CVE-2023 -36846 και CVE-2023-36845).
Ενώ η Juniper είπε ότι δεν υπάρχουν στοιχεία ενεργητικής εκμετάλλευσης, η WatchTowr Labs είπε ότι πιστεύει ότι οι εισβολείς θα αρχίσουν σύντομα να στοχεύουν μη επιδιορθωμένες συσκευές Juniper σε επιθέσεις ευρείας κλίμακας.
«Δεδομένης της απλότητας της εκμετάλλευσης και της προνομιακής θέσης που κατέχουν οι συσκευές
JunOS
σε ένα δίκτυο, δεν θα εκπλαγούμε να δούμε μεγάλης κλίμακας εκμετάλλευση», προειδοποίησαν οι ερευνητές.
Όπως ήταν αναμενόμενο, ερευνητές ασφάλειας στον μη κερδοσκοπικό οργανισμό ασφάλειας Διαδικτύου Shadowserver
Foundation
αποκάλυψαν
σήμερα
ότι είχαν εντοπίσει απόπειρες εκμετάλλευσης ξεκινώντας την ίδια ημέρα που κυκλοφόρησε το exploit PoC της watchTowr Labs.
ανέβασε στο Twitter
την Τρίτη.
“Την ίδια μέρα δημοσιεύτηκε ένα exploit POC. Αυτό περιλαμβάνει το συνδυασμό CVE χαμηλότερης σοβαρότητας για την επίτευξη RCE πριν από την εξουσιοδότηση.”
Απόπειρες εκμετάλλευσης Juniper (Shadowserver Foundation)
Ο Διευθύνων Σύμβουλος του Shadowserver, Piotr Kijewski, επιβεβαίωσε στο BleepingComputer ότι οι επιτιθέμενοι χρησιμοποιούν εκμεταλλεύσεις που έχουν δημιουργηθεί χρησιμοποιώντας το PoC της watchTowr Labs ως έμπνευση.
«Οι απόπειρες εκμετάλλευσης φαίνεται να βασίζονται σε αυτό
εκμεταλλεύονται POC
, με κάποιες παραλλαγές, το οποίο επιχειρεί να ανεβάσει ένα αρχείο PHP και στη συνέχεια να το εκτελέσει. Οπότε υποθέτω ότι μπορεί να περιμένουμε κοχύλια», είπε ο Kijewski.
“Με βάση τις παρατηρήσεις μας στο honeypot, θα έλεγα ότι όλες οι περιπτώσεις Juniper με το J-Web εκτεθειμένο έχουν ήδη χτυπηθεί. 29 IP που επιχειρούν αυτήν τη στιγμή αυτές τις επιθέσεις, [..] πιθανώς πολλαπλοί παράγοντες απειλής».
Επί του παρόντος,
πάνω από 8.200 συσκευές Juniper
έχουν τις διεπαφές J-Web τους εκτεθειμένες στο διαδίκτυο, σύμφωνα με τα δεδομένα του Shadowserver,
οι περισσότεροι από τη Νότια Κορέα
.
Συνιστάται στους διαχειριστές να εφαρμόσουν ενημερώσεις κώδικα ή να αναβαθμίσουν το JunOS στην πιο πρόσφατη έκδοση αμέσως ή, τουλάχιστον, να απενεργοποιήσουν την πρόσβαση στο Διαδίκτυο στη διεπαφή J-Web για να αφαιρέσουν το διάνυσμα επίθεσης.
