A Juniper Networks divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) pré-autenticação em suas firewalls da série SRX e switches da série EX.
Descoberta nas interfaces de configuração J-Web dos dispositivos e registrada como CVE-2024-21591, essa falha de segurança crítica também pode ser explorada por atores de ameaças não autenticados para obter privilégios de root ou realizar ataques de negação de serviço (DoS) em dispositivos não atualizados.
“Este problema é causado pelo uso de uma função insegura que permite a um atacante sobrescrever memória arbitrária”, explicou a empresa em um aviso de segurança publicado na quarta-feira.
A Juniper acrescentou que sua Equipe de Resposta a Incidentes de Segurança não tem evidências de que a vulnerabilidade esteja sendo explorada ativamente.
A lista completa de versões vulneráveis do Junos OS afetadas pelo bug do J-Web nas séries SRX e EX inclui:
- Versões do Junos OS anteriores a 20.4R3-S9
- Versões 21.2 do Junos OS anteriores a 21.2R3-S7
- Versões 21.3 do Junos OS anteriores a 21.3R3-S5
- Versões 21.4 do Junos OS anteriores a 21.4R3-S5
- Versões 22.1 do Junos OS anteriores a 22.1R3-S4
- Versões 22.2 do Junos OS anteriores a 22.2R3-S3
- Versões 22.3 do Junos OS anteriores a 22.3R3-S2
- Versões 22.4 do Junos OS anteriores a 22.4R2-S2, 22.4R3
O bug foi corrigido nas versões Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 e todas as versões subsequentes.
Administradores são aconselhados a aplicar imediatamente as atualizações de segurança ou atualizar o JunOS para a versão mais recente ou, pelo menos, desativar a interface J-Web para remover o vetor de ataque.
Outra solução temporária é restringir o acesso ao J-Web apenas a hosts de rede confiáveis até que os patches sejam implantados.
De acordo com dados da organização sem fins lucrativos de segurança na internet Shadowserver, mais de 8.200 dispositivos Juniper têm suas interfaces J-Web expostas online, a maioria na Coreia do Sul (Shodan também registra mais de 9.000).
A CISA também alertou em novembro sobre um exploit de RCE pré-autenticação da Juniper sendo usado ativamente, encadeando quatro bugs registrados como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 e CVE-2023-36847, que afetaram as firewalls SRX e switches EX da empresa.
O alerta veio meses depois que a ShadowServer detectou as primeiras tentativas de exploração em 25 de agosto, uma semana após a Juniper lançar patches e assim que a watchTowr Labs divulgou um exploit de prova de conceito (PoC).
Em setembro, a empresa de inteligência de vulnerabilidades VulnCheck encontrou milhares de dispositivos Juniper ainda vulneráveis a ataques usando essa cadeia de exploits.
A CISA adicionou os quatro bugs ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 17 de novembro, marcando-os como “vetores de ataque frequentes para cibercriminosos mal-intencionados” com “riscos significativos para a empresa federal”.
A agência de cibersegurança dos EUA emitiu a primeira diretiva operacional vinculativa (BOD) do ano em junho passado, exigindo que as agências federais protejam seus equipamentos de rede expostos à internet ou mal configurados (como firewalls e switches da Juniper) dentro de uma janela de duas semanas após a descoberta.
