Эксплойт для Juniper SRX — вакцина против удаленного кода или инструкция для хакеров?

В брандмауэрах Juniper SRX недавно обнаружили уязвимости, которые позволяют удаленно выполнить код без авторизации. Угроза касается устройств, работающих на необновленной операционной системе JunOS.

Juniper Networks раскрыла информацию о четырех дефектах средней степени серьезности в коммутаторах серии EX и брандмауэрах SRX две недели назад. Для устранения проблем уже выпустили патчи.

Уязвимости были найдены в интерфейсе J-Web, написанном на языке PHP. Администраторы используют его для управления и конфигурации устройств Juniper в своих сетях. Этот интерфейс стал уязвимым из-за недочетов в процессах аутентификации и взаимодействия с файловой системой.

Компания указала, что «с помощью специфического запроса, не требующего аутентификации, злоумышленник может загрузить произвольные файлы через J-Web. Это приводит к потере целостности определенной части файловой системы. Затем уязвимости можно скомбинировать друг с другом».

Исследователи из лаборатории watchTowr Labs разработали и опубликовали эксплойт , который объединяет две ключевые уязвимости: отсутствие аутентификации для критической функции ( CVE-2023-36846 ) и ошибку в модификации внешней переменной PHP ( CVE-2023-36845 ). Также была опубликована техническая статья, в которой подробно описывается анализ проблем и процесс разработки эксплойта.

Пока что данных о реальных атаках, использующих эти дефекты, нет. Однако watchTowr Labs предполагает, что злоумышленники могут взломать необновленные устройства Juniper в скором времени. «Учитывая простоту эксплуатации и привилегированное положение устройств JunOS в сети, это будет неудивительно», — предупредили исследователи.

Администраторам рекомендуют как можно скорее установить патчи или обновить JunOS до последней версии. В качестве альтернативных мер можно отключить доступ к интерфейсу J-Web.

В июне CISA выпустило первую в этом году обязательную операционную директиву . Согласно распоряжению, американские федеральные агентства должны обеспечить безопасность оборудования Juniper в течение двух недель после обнаружения уязвимостей. Под прицелом могут оказаться подключенные к интернету или неправильно настроенные устройства.