„Juniper Networks“ išleido avarinį naujinimą, kad pašalintų didžiausią pažeidžiamumą, dėl kurio autentifikavimas apeinamas „Session Smart Router“ (SSR), „Session Smart Conductor“ ir „WAN Assurance Router“ produktuose.
Saugos problema stebima kaip CVE-2024-2973 ir užpuolikas gali ja pasinaudoti, kad visiškai kontroliuotų įrenginį.
„Autentifikavimo apėjimas naudojant alternatyvų kelią arba kanalo pažeidžiamumą Juniper Networks Session Smart Router arba Conductor, veikiantis su pertekliniu lygiu, leidžia tinklo užpuolikui apeiti autentifikavimą ir visiškai valdyti įrenginį“, – rašoma pažeidžiamumo aprašyme.
„Šis pažeidžiamumas turi įtakos tik tiems maršrutizatoriams ar laidininkams, kurie veikia didelio pasiekiamumo perteklinėse konfigūracijose“, – saugos patarime pažymi Juniper.
Žiniatinklio administratoriai taiko „didelio pasiekiamumo perteklines konfigūracijas“, kai paslaugų tęstinumas yra labai svarbus. Ši konfigūracija yra būtina norint išlaikyti nenutrūkstamas paslaugas ir padidinti atsparumą nenumatytiems, trikdantiems įvykiams.
Dėl to pažeidžiama konfigūracija yra gana dažna misijai svarbioje tinklo infrastruktūroje, įskaitant didelių įmonių aplinkas, duomenų centrus, telekomunikacijas, elektroninę prekybą ir vyriausybės ar viešąsias paslaugas.
CVE-2024-2973 paveiktos produkto versijos yra:
Seanso išmanusis maršrutizatorius ir laidininkas:
- Visos versijos iki 5.6.15
- Nuo 6.0 iki 6.1.9-lts
- Nuo 6.2 iki 6.2.5-sts
WAN garantijos maršrutizatorius:
- 6.0 versijos iki 6.1.9-lts
- 6.2 versijos iki 6.2.5 sts
Buvo prieinami „Session Smart Router“ 5.6.15, 6.1.9-lts ir 6.2.5-sts versijų saugos naujinimai.
WAN Assurance Routers pataisomos automatiškai, kai jie prisijungia prie „Mist Cloud“, tačiau didelio pasiekiamumo grupių administratoriai turi atnaujinti į SSR-6.1.9 arba SSR-6.2.5.
Juniper taip pat pažymi, kad pakanka atnaujinti „Conductor“ mazgus, kad pataisa būtų automatiškai pritaikyta prijungtiems maršrutizatoriams, tačiau maršrutizatoriai vis tiek turėtų būti atnaujinami į naujausią turimą versiją.
Pardavėjas patikina klientus, kad pataisymo taikymas nesutrikdo gamybos srauto ir turėtų turėti minimalų poveikį – maždaug 30 sekundžių interneto valdymo ir API prastovos.
Šio pažeidžiamumo problemos sprendimo būdų nėra, todėl rekomenduojamas veiksmas apsiriboja galimų pataisymų taikymu.
Hakeriai nusitaikė į Kadagius
Kadagio produktai yra patrauklus įsilaužėlių taikinys dėl kritinės ir vertingos aplinkos, kurioje jie naudojami.
Praėjusiais metais „Juniper EX“ jungikliai ir SRX ugniasienės buvo nukreiptos per išnaudojimo grandinę, apimančią keturis pažeidžiamumus, o kenkėjiška veikla buvo pastebėta praėjus mažiau nei savaitei po to, kai pardavėjas paskelbė susijusį biuletenį.
Po kelių mėnesių CISA perspėjo apie aktyvų minėtų trūkumų išnaudojimą, įgaunantį vis didesnį mastą, ragindama federalines agentūras ir svarbias organizacijas įdiegti saugumo atnaujinimus per artimiausias keturias dienas – neįprastai trumpą CISA įspėjimų terminą.