Kriittinen haavoittuvuus Juniperin Junos OS-järjestelmää käyttävissä SRX- ja EX-sarjan laitteissa
Haavoittuvuus14/2023CVSS 9.8CVE: useita (Ulkoinen linkki)
Juniper on julkaissut normaalista päivitystahdista poikkeavan turvallisuuspäivityksen SRX- ja EX-sarjan laitteilleen. Päivitys korjaa mainituilla laitteilla Junos OS-järjestelmässä havaitun ongelman, jossa neljää eri haavoittuvuutta ketjuttamalla hyökkääjä voi suorittaa laitteella verkon yli mielivaltaista koodia ilman kirjautumista. Päivitys on syytä suorittaa välittömästi.
Juniper SRX on palomuurien ja EX kytkinten mallisarja. Haavoittuvuus koskee Juniperin Junos OS-järjestelmän J-Web -webhallintakomponenttia mainituissa laitteissa.
Neljä eri haavoittuvuutta, kukin CVSS-arvoltaan 5,3, liittyvät puutteellisiin varmistuksiin tärkeiden ympäristömuuttujien asettamisessa ja tiedostojen lähettämisessä laitteeseen. Haavoittuvuuksia ketjuttamalla niiden vaikuttavuus lisääntyy ja CVSS-arvo nousee 9,8:aan, sillä hyökkääjän on mahdollista suorittaa laitteella mielivaltaista koodia verkon yli ilman kirjautumista. Haavoittuvuudet ovat:
- CVE-2023-36844
- CVE-2023-36845
- CVE-2023-36846
- CVE-2023-36847
Päivitys tai rajoittavat toimenpiteet on syytä suorittaa viipymättä.
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
Juniper SRX-sarjan laitteet:
- kaikki versiot ennen 20.4R3-S8;
- 21.2 versiot ennen 21.2R3-S6;
- 21.3 versiot ennen 21.3R3-S5;
- 21.4 versiot ennen 21.4R3-S5;
- 22.1 versiot ennen 22.1R3-S3;
- 22.2 versiot ennen 22.2R3-S2;
- 22.3 versiot ennen 22.3R2-S2, 22.3R3;
- 22.4 versiot ennen 22.4R2-S1, 22.4R3;
Juniper EX-sarjan laitteet:
- kaikki versiot ennen 20.4R3-S8;
- 21.2 versiot ennen 21.2R3-S6;
- 21.3 versiot ennen 21.3R3-S5;
- 21.4 versiot ennen 21.4R3-S4;
- 22.1 versiot ennen 22.1R3-S3;
- 22.2 versiot ennen 22.2R3-S1;
- 22.3 versiot ennen 22.3R2-S2, 22.3R3;
- 22.4 versiot ennen 22.4R2-S1, 22.4R3.
Ratkaisu- ja rajoitusmahdollisuudet
Asenna korjaava päivitys viipymättä. Mikäli tämä ei ole mahdollista, poista Junos OS:n J-Web-komponentti käytöstä tai rajoita siihen pääsyä verkkotasolla.
Lisätietoja
Valmistaja muistuttaa, että vanhentuneita järjestelmiä (ns. EoE tai EoL) ei lähtökohtaisesti paikata.