Juniper Networks пусна актуализации за сигурност, за да отстрани критична уязвимост в отдалечено изпълнение на код (RCE) преди заявяване на достъп в защитните стени от серията SRX и комутаторите от серията EX.

Открит в конфигурационните интерфейси J-Web на устройствата и проследен като CVE-2024-21591, този критичен недостатък в сигурността може да бъде използван и от неавтентифицирани хакери за получаване на root привилегии или за извършване на атаки за отказ на услуга (DoS) срещу непоправени устройства.

„Този проблем е причинен от използването на несигурна функция, позволяваща на атакуващия да презапише произволна памет“, обяснява компанията в консултация по сигурността, публикувана в сряда.

Juniper добави, че нейният екип за реагиране при инциденти със сигурността не разполага с доказателства, че уязвимостта се експлоатира в дивата природа.

Пълният списък на уязвимите версии на операционната система Junos OS, засегнати от грешката J-Web на сериите SRX и EX, включва:

Junos OS версии преди 20.4R3-S9
Junos OS 21.2 версии преди 21.2R3-S7
Junos OS 21.3 версии преди 21.3R3-S5
Junos OS 21.4 версии преди 21.4R3-S5
Junos OS 22.1 версии преди 22.1R3-S4
Junos OS 22.2версии преди22.2R3-S3
Junos OS 22.3 версии преди 22.3R3-S2
Junos OS 22.4 версии преди 22.4R2-S2, 22.4R3

Грешката е отстранена в Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 и всички следващи версии.

На администраторите се препоръчва незабавно да приложат актуализациите за сигурност или да обновят JunOS до най-новата версия, или поне да деактивират интерфейса J-Web, за да премахнат вектора на атаката.

Друго временно решение е да се ограничи достъпът до J-Web само до доверени мрежови хостове, докато се внедрят поправките.

По данни на организацията с нестопанска цел за интернет сигурност Shadowserver повече от 8200 устройства Juniper са с изложени онлайн J-Web интерфейси, повечето от Южна Корея (Shodan също следи над 9000). Както се вижда от картата по- долу, има такива и в София, България.

Устройства Juniper с разкрити в интернет J-Web интерфейси 

През ноември CISA предупреди и за използван в дивата природа експлойт Juniper pre-auth RCE, който верижно свързва четири грешки, проследени като CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 и CVE-2023-36847, и засяга защитните стени SRX и комутаторите EX на компанията.

Предупреждението се появи месеци след като ShadowServer откри първите опити за експлоатация на 25 август, една седмица след като Juniper пусна кръпки и веднага след като watchTowr Labs пусна доказателство за концепцията (PoC) на експлойта.

През септември фирмата за проучване на уязвимости VulnCheck откри хиляди устройства Juniper, които все още са уязвими за атаки, използващи тази верига от експлойти.

На 17 ноември CISA добави четирите бъга към своя каталог на известните експлоатирани уязвимости, като ги обозначи като „чести вектори на атаки за злонамерени киберзлодеи“ със „значителни рискове за федералното предприятие“.

През юни миналата година Агенцията за киберсигурност на САЩ издаде първата за годината задължителна оперативна директива (ЗОД), която изисква от федералните агенции да защитят своето мрежово оборудване, изложено на въздействието на интернет или неправилно конфигурирано (като защитни стени и комутатори Juniper), в рамките на две седмици след откриването му.