30/08/23
Угроза касается устройств, работающих на необновленной операционной системе JunOS.
Juniper Networks раскрыла информацию о четырех дефектах средней степени серьезности в коммутаторах серии EX и брандмауэрах SRX две недели назад. Для устранения проблем уже выпустили патчи.
Уязвимости были найдены в интерфейсе J-Web, написанном на языке PHP. Администраторы используют его для управления и конфигурации устройств Juniper в своих сетях. Этот интерфейс стал уязвимым из-за недочетов в процессах аутентификации и взаимодействия с файловой системой.
Компания указала, что «с помощью специфического запроса, не требующего аутентификации, злоумышленник может загрузить произвольные файлы через J-Web. Это приводит к потере целостности определенной части файловой системы. Затем уязвимости можно скомбинировать друг с другом».
Исследователи из лаборатории watchTowr Labs разработали и опубликовали эксплойт, который объединяет две ключевые уязвимости: отсутствие аутентификации для критической функции (CVE-2023-36846) и ошибку в модификации внешней переменной PHP (CVE-2023-36845). Также была опубликована техническая статья, в которой подробно описывается анализ проблем и процесс разработки эксплойта.
Пока что данных о реальных атаках, использующих эти дефекты, нет. Однако watchTowr Labs предполагает, что злоумышленники могут взломать необновленные устройства Juniper в скором времени. «Учитывая простоту эксплуатации и привилегированное положение устройств JunOS в сети, это будет неудивительно», — предупредили исследователи.
Администраторам рекомендуют как можно скорее установить патчи или обновить JunOS до последней версии. В качестве альтернативных мер можно отключить доступ к интерфейсу J-Web.
В июне CISA выпустило первую в этом году обязательную операционную директиву. Согласно распоряжению, американские федеральные агентства должны обеспечить безопасность оборудования Juniper в течение двух недель после обнаружения уязвимостей. Под прицелом могут оказаться подключенные к интернету или неправильно настроенные устройства.
