Juniper Networks выпустила обновления безопасности для устранения критической уязвимости удаленного выполнения кода (RCE) перед авторизацией в своих межсетевых экранах серии SRX и коммутаторах серии EX.
Обнаруженный в интерфейсах конфигурации J-Web устройств и отслеживаемый как CVE-2024-21591, этот критический недостаток безопасности также может быть использован неавторизованными субъектами угроз для получения привилегий root или запуска атак отказа в обслуживании (DoS) на непропатченных устройствах.
«Эта проблема вызвана использованием небезопасной функции, позволяющей злоумышленнику перезаписать произвольную память»
- пояснила компания в опубликованном в среду сообщении о безопасности
Juniper добавила, что ее группа реагирования на инциденты безопасности не имеет доказательств того, что уязвимость используется в жизни.
Полный список уязвимых версий Junos OS, на которые влияет ошибка J-Web в сериях SRX и EX, включает:
- Junos OS версии ранее 20.4R3-S9
- Junos OS 21.2 версии ранее 21.2R3-S7
- Junos OS 21.3 версии ранее 21.3R3-S5
- Junos OS 21.4 версии ранее 21.4R3-S5
- Junos OS 22.1 версии ранее 22.1R3-S4
- Junos OS 22.2 версии ранее 22.2R3-S3
- Junos OS 22.3 версии ранее 22.3R3-S2
- Junos OS 22.4 версии ранее 22.4R2-S2, 22.4R3
Ошибка устранена в Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 и всех последующих выпусках.
Администраторам рекомендуется немедленно применить обновления безопасности, обновить JunOS до последней версии или, по крайней мере, отключить интерфейс J-Web, чтобы устранить вектор атаки.
Другим временным решением является ограничение доступа к J-Web только доверенными узлами сети до тех пор, пока не будут развернуты исправления.
По данным некоммерческой организации по интернет-безопасности Shadowserver, более 8200 устройств Juniper device manager&group_by=geo&§style=stacked имеют открытые интерфейсы J-Web в Интернете, большинство из Южной Кореи manager&geo=all&data_set=count&scale=log.
В ноябре CISA также предупредила об эксплойте Juniper pre-auth RCE, который используется и объединяет четыре ошибки, отслеживаемые как CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 и CVE-2023-36847, и затрагивает межсетевые экраны SRX и коммутаторы EX компании.
Предупреждение появилось через несколько месяцев после того, как ShadowServer обнаружил первые попытки эксплуатации 25 августа, через неделю после выпуска патчей Juniper и как только WatchTowr Labs выпустила доказательство концепции (PoC) эксплоита.
В сентябре компания VulnCheck, занимающаяся анализом уязвимостей, обнаружила, что тысячи устройств Juniper все еще уязвимы для атак с использованием этой цепочки эксплойтов.
CISA добавила эти четыре ошибки в свой каталог известных эксплуатируемых уязвимостей 17 ноября, отметив их как «частые векторы атак для злоумышленников» с «существенным риском для федеральных предприятий».
В июне этого года Агентство по кибербезопасности США выпустило первую в этом году обязательную оперативную директиву (BOD), требующую от федеральных агентств обеспечить защиту своего сетевого оборудования, подверженного воздействию Интернета или неправильно настроенного (например, брандмауэров и коммутаторов Juniper), в течение двух недель после обнаружения.
Комментарии (0)