Η Juniper Networks κυκλοφόρησε ενημερώσεις ασφαλείας για τη διόρθωση μιας κρίσιμης ευπάθειας προ-ελέγχου απομακρυσμένης εκτέλεσης κώδικα (RCE) στα τείχη προστασίας της σειράς SRX και στους διακόπτες της σειράς EX.
Βρίσκεται σ
τι
ς διεπαφές διαμόρφωσης J-Web των συσκευών και παρακολουθείται ως CVE-2024-21591, αυτό το κρίσιμο ελάττωμα ασφαλείας μπορεί επίσης να αξιοποιηθεί από μη επιβεβαιωμένους παράγοντες απειλών για να αποκτήσουν δικαιώματα root ή να ξεκινήσουν επιθέσεις άρνησης υπηρεσίας (DoS) εναντίον μη επιδιορθωμένων συσκευών.
“Αυτό το ζήτημα προκαλείται από τη χρήση μιας μη ασφαλούς λειτουργίας που επιτρέπει σε έναν εισβολέα να αντικαταστήσει την αυθαίρετη μνήμη”, εξήγησε η εταιρεία σε μια συμβουλευτική για την ασφάλεια που δημοσιεύθηκε την Τετάρτη.
Η Juniper πρόσθεσε ότι η Ομάδα Αντιμετώπισης Συμβάντων Ασφαλείας δεν έχει στοιχεία που να αποδεικνύουν ότι η ευπάθεια γίνεται αντικείμενο εκμετάλλευσης στη φύση.
Η πλήρης λίστα των ευάλωτων εκδόσεων του
Junos
OS που επηρεάζονται από το σφάλμα SRX Series και EX Series J-Web περιλαμβάνει:
- Εκδόσεις Junos OS παλαιότερες από 20.4R3-S9
- Junos OS 21.2 εκδόσεις παλαιότερες από 21.2R3-S7
- Junos OS 21.3 εκδόσεις παλαιότερες από 21.3R3-S5
- Junos OS 21.4 εκδόσεις παλαιότερες από 21.4R3-S5
- Εκδόσεις Junos OS 22.1 παλαιότερες από 22.1R3-S4
- Εκδόσεις Junos OS 22.2 παλαιότερες από 22.2R3-S3
- Junos OS 22.3 εκδόσεις παλαιότερες από 22.3R3-S2
- Junos OS 22.4 εκδόσεις παλαιότερες από 22.4R2-S2, 22.4R3
Το σφάλμα αντιμετωπίστηκε στα Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.2R3-S2, 22.2R3-S5, 22.4R3-S5, 22.2R3-S3, 22.3R3-S2, 22.2,4R. , 23.2R1-S1, 23.2R2, 23.4R1 και όλες οι επόμενες εκδόσεις.
Συνιστάται στους διαχειριστές να εφαρμόσουν αμέσως τις ενημερώσεις ασφαλείας ή να αναβαθμίσουν το JunOS στην πιο πρόσφατη έκδοση ή, τουλάχιστον, να απενεργοποιήσουν τη διεπαφή J-Web για να αφαιρέσουν το διάνυσμα επίθεσης.
Μια άλλη προσωρινή λύση είναι ο περιορισμός της πρόσβασης J-Web μόνο σε αξιόπιστους κεντρικούς
υπολογιστές
δικτύου μέχρι να αναπτυχθούν οι ενημερώσεις κώδικα.
Σύμφωνα με στοιχεία από τον μη κερδοσκοπικό οργανισμό ασφάλειας Διαδικτύου Shadowserver,
περισσότερες από 8.200 συσκευές Juniper
έχουν τις διασυνδέσεις J-Web τους εκτεθειμένες στο διαδίκτυο,
οι περισσότεροι από τη Νότια Κορέα
(Ο Shodan κάνει επίσης κομμάτια
πάνω από 9.000
).
Συσκευές Juniper με διεπαφές J-Web που εκτίθενται στο Διαδίκτυο (Shodan)
Η CISA προειδοποίησε επίσης τον Νοέμβριο για ένα εκμεταλλεύσιμο RCE προέγκρισης Juniper που χρησιμοποιείται στη φύση, αλυσοειδώντας τέσσερα σφάλματα που εντοπίστηκαν ως CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 και CVE-2023-36847 και επηρεάζονται τα τείχη προστασίας SRX και οι διακόπτες EX της εταιρείας.
Η ειδοποίηση ήρθε μήνες αφότου ο ShadowServer εντόπισε τις πρώτες απόπειρες εκμετάλλευσης στις 25 Αυγούστου, μία εβδομάδα αφότου η Juniper κυκλοφόρησε ενημερώσεις κώδικα και μόλις η WatchTowr Labs κυκλοφόρησε ένα exploit απόδειξης της ιδέας (PoC).
Τον Σεπτέμβριο, η εταιρεία πληροφοριών ευπάθειας VulnCheck βρήκε χιλιάδες συσκευές Juniper εξακολουθούν να είναι ευάλωτες σε επιθέσεις που χρησιμοποιούν αυτήν την αλυσίδα εκμετάλλευσης.
Η CISA πρόσθεσε τα τέσσερα σφάλματα στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών στις 17 Νοεμβρίου, χαρακτηρίζοντάς τα ως «διανύσματα συχνών επιθέσεων για κακόβουλους φορείς του
κυβερνοχώρο
υ» με «σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση».
Η αμερικανική υπηρεσία κυβερνοασφάλειας εξέδωσε την πρώτη δεσμευτική επιχειρησιακή οδηγία (BOD) του έτους τον περασμένο Ιούνιο, απαιτώντας από τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τον εκτεθειμένο ή εσφαλμένα διαμορφωμένο εξοπλισμό δικτύωσης τους (όπως τείχη προστασίας και διακόπτες Juniper) εντός δύο εβδομάδων μετά την ανακάλυψη.
VIA:
bleepingcomputer.com
