A Juniper Networks publicou um patch de emergência para uma vulnerabilidade crítica de bypass de autenticação, que afeta roteadores e condutores Session Smart. A vulnerabilidade (CVE-2024-2973) recebeu uma pontuação CVSS de 10 e “permite que um invasor baseado em rede ignore a autenticação e assuma o controle total do dispositivo”. Isso ocorre nos dispositivos com a configuração redundante de alta disponibilidade.
Veja isso
Juniper alerta sobre bug de RCE em firewalls e switches
Exploit para bugs em firewalls Juniper permite ataques RCE
A publicação foi feita na semana passada e a empresa explica que a vulnerabilidade foi resolvida automaticamente em dispositivos afetados para roteadores WAN Assurance gerenciados pela rede Mist que estão conectados à nuvem Mist. “É importante observar que a correção aplicada automaticamente em roteadores gerenciados por um Condutor ou em roteadores de garantia WAN não tem impacto nas funções do plano de dados do roteador. A aplicação da correção não prejudica o tráfego de produção”, afirma Juniper.
A atualização, no entanto, pode causar um tempo de inatividade de menos de 30 segundos para o gerenciamento baseado na web e APIs.
A Juniper Networks observa que não há soluções alternativas disponíveis para a vulnerabilidade e que não tem conhecimento de que a falha está sendo explorada em ataques.