Kriittinen haavoittuvuus Juniperin Junos OS-järjestelmää käyttävissä SRX- ja EX-sarjan laitteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Juniperin Junos OS-järjestelmää käyttävissä SRX- ja EX-sarjan laitteissa

20. elokuuta 2023 klo 9.53, päivitetty 14. marraskuuta 2023 klo 8.49

Juniper on julkaissut normaalista päivitystahdista poikkeavan turvallisuuspäivityksen SRX- ja EX-sarjan laitteilleen. Päivitys korjaa mainituilla laitteilla Junos OS-järjestelmässä havaitun ongelman, jossa neljää eri haavoittuvuutta ketjuttamalla hyökkääjä voi suorittaa laitteella verkon yli mielivaltaista koodia ilman kirjautumista. Päivitys on syytä suorittaa välittömästi.

Juniper SRX on palomuurien ja EX kytkinten mallisarja. Haavoittuvuus koskee Juniperin Junos OS-järjestelmän J-Web -webhallintakomponenttia mainituissa laitteissa.

Neljä eri haavoittuvuutta, kukin CVSS-arvoltaan 5,3, liittyvät puutteellisiin varmistuksiin tärkeiden ympäristömuuttujien asettamisessa ja tiedostojen lähettämisessä laitteeseen. Haavoittuvuuksia ketjuttamalla niiden vaikuttavuus lisääntyy ja CVSS-arvo nousee 9,8:aan, sillä hyökkääjän on mahdollista suorittaa laitteella mielivaltaista koodia verkon yli ilman kirjautumista. Haavoittuvuudet ovat:

  • CVE-2023-36844
  • CVE-2023-36845
  • CVE-2023-36846
  • CVE-2023-36847

Päivitys tai rajoittavat toimenpiteet on syytä suorittaa viipymättä.

Uutta 14.11.2023: CISA lisäsi haavoittuvuudet KEV:iin (Known Exploited Vulnerabilities Catalog). Haavoittuvuuksien hyväksikäyttöä on havaittu maailmalla.

Haavoittuvuuden kohde

Juniper SRX-sarjan laitteet:

  • kaikki versiot ennen 20.4R3-S8;
  • 21.2 versiot ennen 21.2R3-S6;
  • 21.3 versiot ennen 21.3R3-S5;
  • 21.4 versiot ennen 21.4R3-S5;
  • 22.1 versiot ennen 22.1R3-S3;
  • 22.2 versiot ennen 22.2R3-S2;
  • 22.3 versiot ennen 22.3R2-S2, 22.3R3;
  • 22.4 versiot ennen 22.4R2-S1, 22.4R3;

Juniper EX-sarjan laitteet:

  • kaikki versiot ennen 20.4R3-S8;
  • 21.2 versiot ennen 21.2R3-S6;
  • 21.3 versiot ennen 21.3R3-S5;
  • 21.4 versiot ennen 21.4R3-S4;
  • 22.1 versiot ennen 22.1R3-S3;
  • 22.2 versiot ennen 22.2R3-S1;
  • 22.3 versiot ennen 22.3R2-S2, 22.3R3;
  • 22.4 versiot ennen 22.4R2-S1, 22.4R3.

Mistä on kysymys?

Asenna korjaava päivitys viipymättä. Mikäli tämä ei ole mahdollista, poista Junos OS:n J-Web-komponentti käytöstä tai rajoita siihen pääsyä verkkotasolla.

Mitä voin tehdä?

Valmistaja muistuttaa, että vanhentuneita järjestelmiä (ns. EoE tai EoL) ei lähtökohtaisesti paikata.

Valmistajan tiedote: JSA72300 (ulkoinen linkki)

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

14. marraskuuta 2023 klo 8.49 Lisätty tieto haavoittuvuuksien hyväksikäytöstä.