Εκτιμάται ότι 12.000 τείχη προστασίας και διακόπτες EX Juniper SRX είναι ευάλωτα σε ένα ελάττωμα εκτέλεσης απομακρυσμένου κώδικα χωρίς αρχεία που μπορούν να εκμεταλλευτούν οι εισβολείς χωρίς έλεγχο ταυτότητας.
Τον Αύγουστο, Ο Juniper αποκάλυψε πολυάριθμες ευπάθειες «Περιβάλλοντος χειρισμού παραλλαγής PHP» (CVE-2023-36844/CVE-2023-36845) και «Λείπει έλεγχος ταυτότητας για κρίσιμη λειτουργία» (CVE-2023-36846/CVE-2023-36847) που είχαν μόνο ένα «μέσο βαθμολογία σοβαρότητας 5,3.
Ωστόσο, όταν συνδέονται μεταξύ τους, αυτά τα τρωτά σημεία έγιναν ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα με βαθμολογία 9,8.
Σε ένα μεταγενέστερο Τεχνική αναφοράη WatchTowr Labs κυκλοφόρησε ένα PoC που αλυσόδεσε τα ελαττώματα CVE-2023-36845 και CVE-2023-36846, επιτρέποντας στους ερευνητές να εκτελούν εξ αποστάσεως κώδικα ανεβάζοντας δύο αρχεία σε μια ευάλωτη συσκευή.
Σήμερα, ο ερευνητής ευπάθειας του VulnCheck, Jacob Baines, κυκλοφόρησε ένα άλλο exploit PoC που χρησιμοποιεί μόνο το CVE-2023-36845, παρακάμπτοντας την ανάγκη αποστολής αρχείων, επιτυγχάνοντας παράλληλα απομακρυσμένη εκτέλεση κώδικα.
Ως μέρος της έκθεσης του Baines, ο ερευνητής μοιράστηκε ένα δωρεάν σαρωτής στο GitHub για να βοηθήσει στον εντοπισμό ευάλωτων αναπτύξεων, δείχνοντας χιλιάδες ευάλωτες συσκευές εκτεθειμένες στο Διαδίκτυο.
“Σε αυτό το ιστολόγιο, δείξαμε πώς το CVE-2023-36845, μια ευπάθεια που έχει επισημανθεί ως “Μεσαία” σοβαρότητα από την Juniper, μπορεί να χρησιμοποιηθεί για την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα χωρίς έλεγχο ταυτότητας”, εξηγεί Η αναφορά του VulnCheck.
“Έχουμε μετατρέψει ένα multi-step (αλλά πολύ καλό) exploit σε ένα exploit που μπορεί να γραφτεί χρησιμοποιώντας μια μόνο εντολή curl και φαίνεται να επηρεάζει περισσότερα (παλαιότερα) συστήματα.”
Ο αντίκτυπος του προβλήματος ασφαλείας που εντοπίστηκε είναι εκτεταμένος και πολύ πιο σοβαρός από ό,τι υποδηλώνει η “μέτρια” βαθμολογία CVSS και οι διαχειριστές πρέπει να λάβουν άμεσα μέτρα για να αποκαταστήσουν την κατάσταση.
Το νέο κατόρθωμα
Ο Baines λέει ότι αγόρασε ένα παλιό τείχος προστασίας Juniper SRX210 για τη δοκιμή του exploit, αλλά διαπίστωσε ότι η συσκευή του δεν είχε τη λειτουργικότητα do_fileUpload() που απαιτείται για τη μεταφόρτωση αρχείων στη συσκευή.
Αυτό ουσιαστικά έσπασε την αλυσίδα εκμετάλλευσης του watchTowr, αναγκάζοντας τον ερευνητή να δει εάν υπήρχε άλλος τρόπος για να επιτύχει την απομακρυσμένη εκτέλεση κώδικα.
Ο Baines διαπίστωσε ότι θα μπορούσατε να παρακάμψετε την ανάγκη να ανεβάσετε δύο αρχεία στους διακομιστές προορισμού χειρίζοντας μεταβλητές περιβάλλοντος.
Ο διακομιστής ιστού Appweb του τείχους προστασίας Juniper επεξεργάζεται αιτήματα HTTP χρηστών μέσω stdin κατά την εκτέλεση μιας δέσμης ενεργειών CGI.
Εκμεταλλευόμενοι αυτό, οι εισβολείς μπορούν να ξεγελάσουν το σύστημα ώστε να αναγνωρίσει ένα ψευδο “αρχείο,”/dev/fd/0 και προσαρμόζοντας τη μεταβλητή περιβάλλοντος PHPRC και το αίτημα HTTP, μπορούν να εμφανίσουν ευαίσθητα δεδομένα.
Στη συνέχεια, το VulnCheck αξιοποίησε τις λειτουργίες «auto_prepend_file» και «allow_url_include» της PHP για την εκτέλεση αυθαίρετου κώδικα PHP μέσω του πρωτοκόλλου data:// χωρίς να ανεβάσει αρχεία.
Τούτου λεχθέντος, η βαθμολογία σοβαρότητας του CVE-2023-36845, που είναι 5,4, θα πρέπει τώρα να επαναξιολογηθεί σε πολύ υψηλότερη κρίσιμη βαθμολογία λόγω της ικανότητάς του να επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα χωρίς άλλα ελαττώματα.
Αντίκτυπος και κίνδυνος
Η ευπάθεια CVE-2023-36845 επηρεάζει τις ακόλουθες εκδόσεις του Junos OS στη σειρά EX και τη σειρά SRX:
- Όλες οι εκδόσεις πριν από την 20.4R3-S8
- 21.1 έκδοση 21.1R1 και νεότερες εκδόσεις
- 21.2 εκδόσεις πριν από 21.2R3-S6
- 21.3 εκδόσεις πριν από 21.3R3-S5
- 21.4 εκδόσεις πριν από 21.4R3-S5
- 22.1 εκδόσεις πριν από την 22.1R3-S3
- 22.2 εκδόσεις πριν από 22.2R3-S2
- 22.3 εκδόσεις πριν από 22.3R2-S2, 22.3R3
- 22.4 εκδόσεις πριν από 22.4R2-S1, 22.4R3
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπισαν την ευπάθεια στις 17 Αυγούστου 2023. Ωστόσο, η χαμηλή βαθμολογία σοβαρότητας που έλαβε το ελάττωμα δεν προκάλεσε συναγερμούς στους χρήστες που επηρεάστηκαν, πολλοί από τους οποίους μπορεί να είχαν επιλέξει να αναβάλουν την εφαρμογή του.
Οι σαρώσεις δικτύου του VulnCheck έδειξαν 14.951 Juniper με διεπαφές ιστού εκτεθειμένες στο διαδίκτυο. Από ένα μέγεθος δείγματος 3.000 συσκευών, ο Baines διαπίστωσε ότι το 79% ήταν ευάλωτο σε αυτό το ελάττωμα RCE.
Εάν αυτό το ποσοστό εφαρμόζεται σε όλες τις εκτεθειμένες συσκευές, ενδέχεται να εξετάζουμε 11.800 ευάλωτες συσκευές στο διαδίκτυο.
Τέλος, η αναφορά αναφέρει ότι οι Shadowserver και GreyNoise έχουν δει εισβολείς να διερευνούν τα τελικά σημεία του Junos OS, επομένως οι χάκερ διερευνούν ήδη την ευκαιρία να αξιοποιήσουν το CVE-2023-36845 σε επιθέσεις.
Επομένως, οι διαχειριστές της Juniper πρέπει να εφαρμόσουν αυτές τις ενημερώσεις το συντομότερο δυνατό, καθώς θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.
