Nova pesquisa descobriu que quase 12.000 dispositivos de firewall Juniper expostos à internet são vulneráveis a uma falha de execução de código remoto recentemente divulgada.
A VulnCheck, que descobriu um novo exploit para o
CVE-2023-36845
, afirmou que ele poderia ser explorado por um "atacante remoto e não autenticado para executar código arbitrário em firewalls Juniper sem criar um arquivo no sistema".
O
CVE-2023-36845
se refere a uma falha de média gravidade no componente J-Web do Junos OS que poderia ser usada por um ator de ameaças para controlar certas variáveis de ambiente importantes.
Foi corrigido pela Juniper Networks no mês passado junto com o
CVE-2023-36844
,
CVE-2023-36846
e
CVE-2023-36847
em uma atualização fora de ciclo.
Um subsequente exploit de prova de conceito (PoC) elaborado pela watchTowr combinou o
CVE-2023-36846
e o
CVE-2023-36845
para fazer upload de um arquivo PHP contendo shellcode malicioso e conseguiu executar o código.
O último exploit, por outro lado, impacta sistemas mais antigos e pode ser escrito usando um único comando cURL.
Especificamente, ele depende apenas do
CVE-2023-36845
para atingir o mesmo objetivo.
Isso, por sua vez, é realizado usando a transmissão de entrada padrão (também conhecido como stdin) para definir a variável de ambiente PHPRC para "/dev/fd/0" por meio de uma solicitação HTTP especialmente elaborada, transformando efetivamente "/dev/fd/0" em um arquivo improvisado e vazando informações sensíveis.
A execução do código arbitrário é então alcançada através do aproveitamento das opções auto_prepend_file e allow_url_include do PHP em conjunto com o invólucro do protocolo data://.
"Firewalls são alvos interessantes para APTs, pois ajudam a fazer a ponte para a rede protegida e podem servir como hospedeiros úteis para infraestrutura C2", disse Jacob Baines.
"Qualquer pessoa que tenha um firewall Juniper desatualizado, deve examiná-lo por sinais de comprometimento".
A Juniper desde então divulgou que não tem conhecimento de um exploit bem-sucedido contra seus clientes, mas alertou que detectou tentativas de exploração no mundo real, tornando imperativo que os usuários apliquem as correções necessárias para mitigar possíveis ameaças.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...