Днес CISA предупреди федералните агенции да защитят до петък устройствата Juniper в мрежите си срещу четири уязвимости, които сега се използват при атаки с отдалечено изпълнение на код (RCE) като част от верига за експлоатиране преди получаване на разрешение.

Предупреждението идва една седмица след като Juniper актуализира своята консултация, за да уведоми клиентите, че откритите в интерфейса J-Web на Juniper недостатъци (проследени като CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 и CVE-2023-36847) са били успешно експлоатирани в дивата природа.

„Juniper SIRT вече знае за успешното използване на тези уязвимости. Клиентите се призовават незабавно да извършат ъпгрейд“, заявиха от компанията.

Предупрежденията идват, след като услугата за наблюдение на заплахи ShadowServer разкри, че вече е засичала опити за експлоатация на 25 август, една седмица след като Juniper пусна актуализации на сигурността за отстраняване на недостатъците и веднага след като изследователите по сигурността от WatchTowr Labs пуснаха и доказателство за концептуален (PoC) експлойт.

По данни на Shadowserver над 10 000 устройства Juniper са изложили уязвимите си J-Web интерфейси на риск онлайн, повечето от Южна Корея (Shodan вижда над 13 600 изложени на риск Intenet устройства Juniper).

Администраторите се призовават незабавно да защитят своите устройства, като обновят JunOS до най-новата версия или, като минимална предпазна мярка, да ограничат достъпа до интернет до интерфейса J-Web, за да елиминират вектора на атаката.

„Като се има предвид простотата на експлоатацията и привилегированата позиция, която заемат устройствата JunOS в мрежата, не бихме се изненадали да видим широкомащабна експлоатация“, заявиха изследователите от watchTowr Labs през август.

„Тези, които използват засегнато устройство, се приканват да актуализират до оправена версия при първа възможност и/или да забранят достъпа до интерфейса J-Web, ако това е възможно.“

Устройства Juniper, изложени в интернет (Shadowserver)

Днес CISA добави и четирите активно експлоатирани уязвимости на Juniper към своя каталог с известни експлоатирани уязвимости, като ги определи като „чести вектори на атаки за злонамерени киберзлодеи“ и представляващи „значителни рискове за федералното предприятие“.

С добавянето им към списъка с KEV на CISA федералните граждански агенции от изпълнителната власт на САЩ (FCEB) вече трябва да защитят устройствата Juniper в своите мрежи в рамките на ограничен срок, в съответствие със задължителната оперативна директива (BOD 22-01), издадена преди една година.

След днешната актуализация на каталога KEV федералните агенции трябва да завършат обновяването на всички устройства Juniper в рамките на следващите четири дни, до 17 ноември.

Макар че BOD 22-01 е насочена предимно към федералните агенции на САЩ, CISA силно насърчава всички организации, включително частните компании, да приоритизират закърпването на уязвимостите възможно най-скоро.

През юни CISA издаде първата задължителна оперативна директива (BOD) за годината, като инструктира федералните агенции на САЩ да повишат сигурността на изложеното на риск от интернет или неправилно конфигурирано мрежово оборудване, като например защитната стена и комутационните устройства на Juniper, в рамките на две седмици след откриването им.