A Juniper Networks, que acaba de ser adquirida pela Hewlett Packard Enterprise (HPE) por US$ 14 bilhões, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) de pré-autenticação em seus firewalls da série SRX e switches da série EX.
Encontrada nas interfaces de configuração J-Web dos dispositivos e rastreada como CVE-2024-21591, essa falha crítica de segurança também pode ser explorada por operadores de ameaças para obter privilégios de root (administrador de sistema) ou lançar ataques de negação de serviço (DoS) contra dispositivos não corrigidos. “Esse problema é causado pelo uso de uma função insegura que permite a um invasor sobrescrever memória arbitrária”, explicou a empresa em um comunicado de segurança publicado na quarta-feira passada, 10.
A Juniper acrescentou que sua equipe de resposta a incidentes de segurança não tem evidências de que a vulnerabilidade esteja sendo explorada.
A lista completa de versões vulneráveis do Junos OS afetadas pelo bug J-Web da série SRX e da série EX inclui:
• Versões do Junos OS anteriores a 20.4R3-S9
• Versões do Junos OS 21.2 anteriores a 21.2R3-S7
• Versões Junos OS 21.3 anteriores a 21.3R3-S5
• Versões do Junos OS 21.4 anteriores a 21.4R3-S5
• Versões do Junos OS 22.1 anteriores a 22.1R3-S4
• Versões Junos OS 22.2 anteriores a 22.2R3-S3
• Versões Junos OS 22.3 anteriores a 22.3R3-S2
• Versões do Junos OS 22.4 anteriores a 22.4R2-S2, 22.4R3
O bug foi resolvido no Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3 , 23.2R1-S1, 23.2R2, 23.4R1 e todas as versões subsequentes.
Os administradores são aconselhados a aplicar imediatamente as atualizações de segurança ou atualizar o JunOS para a versão mais recente ou, pelo menos, desativar a interface J-Web para remover o vetor de ataque. Outra solução temporária é restringir o acesso J-Web apenas a hosts de rede confiáveis até que os patches sejam implantados.
Veja isso
Exploit para bugs em firewalls Juniper permite ataques RCE
Bug permite execução remota de código no SBR da Juniper
De acordo com dados da organização sem fins lucrativos de segurança na Internet Shadowserver, mais de 8.200 dispositivos Juniper têm suas interfaces J-Web expostas online, a maioria da Coreia do Sul. O Shodan também rastreia mais de 9 mil dispositivos.
A CISA também alertou em novembro sobre uma exploração RCE de pré-autenticação da Juniper, encadeando quatro bugs rastreados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 e CVE-2023-36847 e impactando o firewalls SRX e switches EX da empresa.
A CISA adicionou os quatro bugs ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 17 de novembro, marcando-os como “vetores de ataque frequentes para atores cibernéticos maliciosos” com “riscos significativos para a empresa federal”.
Para ter acesso ao relatório da Juniper sobre o CVE-2024-21591, em inglês, clique aqui.