Juniper alerta sobre bug crítico de RCE em seus firewalls e switches
15 de Janeiro de 2024

A Juniper Networks lançou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução de código remoto (RCE) pré-autenticação em seus firewalls da série SRX e switches da série EX.

Encontrada nas interfaces de configuração J-Web dos dispositivos e rastreada como CVE-2024-21591 , essa falha de segurança crítica também pode ser explorada por atores de ameaças não autenticados para obter privilégios de root ou lançar ataques de negação de serviço (DoS) contra dispositivos não corrigidos.

"Este problema é causado pelo uso de uma função insegura que permite a um invasor sobrescrever a memória arbitrária", explicou a empresa em um aviso de segurança publicado na quarta-feira.

A Juniper acrescentou que sua Equipe de Resposta a Incidentes de Segurança não tem evidências de que a vulnerabilidade esteja sendo explorada.

A lista completa de versões vulneráveis do Junos OS afetadas pelo erro J-Web da série SRX e EX inclui:

Versões do Junos OS anteriores a 20.4R3-S9
Versões do Junos OS 21.2 anteriores a 21.2R3-S7
Versões do Junos OS 21.3 anteriores a 21.3R3-S5
Versões do Junos OS 21.4 anteriores a 21.4R3-S5
Versões do Junos OS 22.1 anteriores a 22.1R3-S4
Versões do Junos OS 22.2 anteriores a 22.2R3-S3
Versões do Junos OS 22.3 anteriores a 22.3R3-S2
Versões do Junos OS 22.4 anteriores a 22.4R2-S2, 22.4R3

O bug foi corrigido no Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 e em todas as versões subsequentes.

Os administradores são aconselhados a aplicar imediatamente as atualizações de segurança ou atualizar o JunOS para a versão mais recente ou, pelo menos, desativar a interface J-Web para remover o vetor de ataque.

Outra solução temporária é restringir o acesso à J-Web apenas a hosts de rede confiáveis até que os patches sejam implantados.

De acordo com dados da organização sem fins lucrativos de segurança da internet Shadowserver, mais de 8.200 dispositivos Juniper têm suas interfaces J-Web expostas online, a maioria da Coreia do Sul (Shodan também rastreia mais de 9.000).

A CISA também alertou em novembro sobre uma exploração de RCE pré-autenticação da Juniper usada, encadeando quatro bugs rastreados como CVE-2023-36844 , CVE-2023-36845 , CVE-2023-36846 e CVE-2023-36847 e que afetaram os firewalls SRX e os switches EX da empresa.

O alerta veio meses depois da ShadowServer detectar as primeiras tentativas de exploração em 25 de agosto, uma semana depois que a Juniper lançou patches e assim que a watchTowr Labs lançou uma prova de conceito (PoC) de exploração.

Em setembro, a firma de inteligência de vulnerabilidade VulnCheck encontrou milhares de dispositivos Juniper ainda vulneráveis a ataques usando essa cadeia de exploração.

A CISA acrescentou os quatro bugs ao seu catálogo de vulnerabilidades exploradas conhecidas em 17 de novembro, marcando-as como "vetores de ataque frequentes para atores cibernéticos maliciosos" com "riscos significativos para a empresa federal".

A agência de segurança cibernética dos EUA emitiu a primeira diretiva operacional vinculativa (BOD) do ano passado em junho, exigindo que agências federais protejam seus equipamentos de rede expostos à internet ou mal configurados (como firewalls e switches Juniper) dentro de uma janela de duas semanas após a descoberta.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...