شرکت جونیپر (Juniper Networks) دهم ژانویه ۲۰۲۴ به روزرسانیهای امنیتی را جهت رفع آسیب پذیری بحرانی اجرای کد از راه دور (RCE) در فایروالهای سری SRX و سوئیچهای سری EX منتشر کرد. این نقص امنیتی مهم که در اینترفیسهای پیکربندی J-Web دستگاهها وجود دارد و با شناسه CVE-2024-21591 دنبال میگردد، میتواند توسط عوامل تهدید احرازهویت نشده برای دریافت سطح دسترسی Root یا حملات انکار سرویس (DoS) علیه دستگاههای دارای آسیب پذیری مورد سوء استفاده قرار گیرد.
شرکت Juniper (جونیپر) در توصیه امنیتی خود اعلام کرد که این آسیب پذیری به دلیل استفاده از یک عملکرد نااَمن میباشد که به مهاجم اجازه میدهد حافظه دلخواه را بازنویسی کند و تاکنون هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری مشاهده نشده است.
لیست کامل نسخههای آسیب پذیر سیستم عامل Junos که تحت تأثیر باگ سری SRX و سری EX J-Web قرار دارند به شرح زیر میباشد:
- نسخههای سیستم عامل Junos پیش از 20.4R3-S9
- Junos OS 21.2 نسخههای پیش از R3-S7 21.2
- Junos OS 21.3 نسخههای پیش از R3-S5 21.3
- Junos OS 21.4 نسخههای پیش از R3-S5 21.4
- Junos OS 22.1 نسخههای پیش از R3-S4 22.1
- Junos OS 22.2 نسخههای پیش از R3-S3 22.1
- Junos OS 22.3 نسخههای پیش از R3-S2 22.1
- Junos OS 22.4 نسخههای پیش از 22.4R2-S2، 22.4R3
این باگ در سریهای 20.4R3-S9، 21.2R3-S7، 21.3R3-S5، 21.4R3-S5، 22.1R3-S4، 22.2R3-S3، 22.4R2-S2، 22.4R2-S2، 22.4R3، 23.2R1-S1، 23.2R2، 23.4R1 سیستم عامل Junos و تمام نسخههای آتی برطرف شده است.
مدیران شبکه میبایست فوراً به روزرسانیهای امنیتی را دریافت و نصب نمایند و یا رابط J-Web را جهت حذف بُردار حمله غیرفعال کنند. راه حل موقت دیگر این است که تا زمانی که اصلاحات و به روزرسانیها پیاده سازی شوند، دسترسی J-Web را فقط به میزبانهای شبکه مورد اطمینان محدود کرد.
اینترفیسهای J-Web بیش از ۸,۲۰۰ دستگاه Juniper بر اساس دادههای شرکت خصوصی Shadowserver، متصل به اینترنت و در دسترس قرار دارند که اغلب آنها متعلق به کره جنوبی هستند ( البته Shodan بیش از ۹ هزار دستگاه را ردیابی کرده است).
CISA در ماه نوامبر نسبت به یک اکسپلویت RCE جونیپر که مورد استفاده قرار گرفته بود، هشدار داد که با چهار باگ CVE-2023-36844، CVE-2023-36845، CVE-2023-36846 و CVE-2023-36847 مرتبط میباشد و تحت تأثیر فایروالهای SRX و سوئیچهای EX این شرکت قرار گرفتند.
ShadowServer اولین تلاشهای بهره برداری را در بیست و پنجم آگوست شناسایی کرد، چندین ماه بعد از این شناسایی و یک هفته پس از انتشار اصلاحات جونیپر، به محض اینکه آزمایشگاه WatchTowr یک اکسپلویت اثبات مفهوم (PoC) را منتشر کرد، آسیب پذیریها به اطلاع همگان رسیدند.
شرکت اطلاعاتی آسیب پذیری VulnCheck، هزاران دستگاه Juniper را در ماه سپتامبر یافت که همچنان در برابر حملات با استفاده از این زنجیره اکسپلویت، آسیب پذیر میباشند. CISA در هفدهم نوامبر این چهار باگ را به کاتالوگ آسیب پذیریهای شناخته شده خود افزود و آنها را به عنوان “بردارهای حمله مکرر برای عوامل سایبری مخرب” با “خطرات قابل توجه برای شرکت فدرال” برچسب گذاری کرد.
آژانس امنیت سایبری ایالات متحده اولین دستورالعمل اجرایی الزام آور (BOD) سال ۲۰۲۳ را در ژوئن گذشته منتشر نمود و از آژانسهای فدرال درخواست کرد تا تجهیزات شبکههای متصل به اینترنت و دارای پیکربندی نادرست (مانند فایروالها و سوئیچهای جونیپر) را ظرف یک بازه زمانی دو هفتهای پس از کشف، ایمن سازند.
