Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittinen haavoittuvuus Juniperin Junos OS-järjestelmää käyttävissä SRX- ja EX-sarjan laitteissa

Haavoittuvuus14/2023CVSS 9.8CVE: useita (Ulkoinen linkki)

Julkaistu
Päivitetty

Juniper on julkaissut normaalista päivitystahdista poikkeavan turvallisuuspäivityksen SRX- ja EX-sarjan laitteilleen. Päivitys korjaa mainituilla laitteilla Junos OS-järjestelmässä havaitun ongelman, jossa neljää eri haavoittuvuutta ketjuttamalla hyökkääjä voi suorittaa laitteella verkon yli mielivaltaista koodia ilman kirjautumista. Päivitys on syytä suorittaa välittömästi.

Juniper SRX on palomuurien ja EX kytkinten mallisarja. Haavoittuvuus koskee Juniperin Junos OS-järjestelmän J-Web -webhallintakomponenttia mainituissa laitteissa.

Neljä eri haavoittuvuutta, kukin CVSS-arvoltaan 5,3, liittyvät puutteellisiin varmistuksiin tärkeiden ympäristömuuttujien asettamisessa ja tiedostojen lähettämisessä laitteeseen. Haavoittuvuuksia ketjuttamalla niiden vaikuttavuus lisääntyy ja CVSS-arvo nousee 9,8:aan, sillä hyökkääjän on mahdollista suorittaa laitteella mielivaltaista koodia verkon yli ilman kirjautumista. Haavoittuvuudet ovat:

  • CVE-2023-36844
  • CVE-2023-36845
  • CVE-2023-36846
  • CVE-2023-36847

Päivitys tai rajoittavat toimenpiteet on syytä suorittaa viipymättä.

Uutta 14.11.2023: CISA lisäsi haavoittuvuudet KEV:iin (Known Exploited Vulnerabilities Catalog) (Ulkoinen linkki). Haavoittuvuuksien hyväksikäyttöä on havaittu maailmalla.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Juniper SRX-sarjan laitteet:

  • kaikki versiot ennen 20.4R3-S8;
  • 21.2 versiot ennen 21.2R3-S6;
  • 21.3 versiot ennen 21.3R3-S5;
  • 21.4 versiot ennen 21.4R3-S5;
  • 22.1 versiot ennen 22.1R3-S3;
  • 22.2 versiot ennen 22.2R3-S2;
  • 22.3 versiot ennen 22.3R2-S2, 22.3R3;
  • 22.4 versiot ennen 22.4R2-S1, 22.4R3;

Juniper EX-sarjan laitteet:

  • kaikki versiot ennen 20.4R3-S8;
  • 21.2 versiot ennen 21.2R3-S6;
  • 21.3 versiot ennen 21.3R3-S5;
  • 21.4 versiot ennen 21.4R3-S4;
  • 22.1 versiot ennen 22.1R3-S3;
  • 22.2 versiot ennen 22.2R3-S1;
  • 22.3 versiot ennen 22.3R2-S2, 22.3R3;
  • 22.4 versiot ennen 22.4R2-S1, 22.4R3.

Ratkaisu- ja rajoitusmahdollisuudet

Asenna korjaava päivitys viipymättä. Mikäli tämä ei ole mahdollista, poista Junos OS:n J-Web-komponentti käytöstä tai rajoita siihen pääsyä verkkotasolla.

Lisätietoja

Valmistaja muistuttaa, että vanhentuneita järjestelmiä (ns. EoE tai EoL) ei lähtökohtaisesti paikata.

Valmistajan tiedote: JSA72300 (ulkoinen linkki) (Ulkoinen linkki)

Lisätty tieto haavoittuvuuksien hyväksikäytöstä.