Un code d’exploitation de preuve de concept a été rendu public pour les vulnérabilités des pare-feu Juniper SRX qui, lorsqu’elles sont enchaînées, peuvent permettre à des attaquants non authentifiés d’exécuter du code à distance dans JunOS de Juniper sur des appareils non corrigés.
Juniper a révélé quatre bogues de gravité moyenne dans ses commutateurs EX et ses pare-feu SRX et a publié des correctifs de sécurité il y a deux semaines.
Les failles de sécurité ont été découvertes dans l’interface J-Web basée sur PHP que les administrateurs peuvent utiliser pour gérer et configurer les appareils Juniper sur leurs réseaux.
« Avec une requête spécifique qui ne nécessite pas d’authentification, un attaquant est capable de télécharger des fichiers arbitraires via J-Web, entraînant une perte d’intégrité d’une certaine partie du système de fichiers, ce qui peut permettre un chaînage vers d’autres vulnérabilités », explique la société. dit.
« En enchaînant l’exploitation de ces vulnérabilités, un attaquant non authentifié basé sur le réseau pourrait être en mesure d’exécuter du code à distance sur les appareils. »
Les chercheurs en sécurité de watchTowr Labs ont depuis développé et publié un exploit de preuve de concept (PoC) qui enchaîne les failles du pare-feu SRX, une authentification manquante pour une vulnérabilité de fonction critique (CVE-2023-36846) et un bug de modification de variable externe PHP (CVE- 2023-36845).
Ils ont également publié une étude technique approfondie décrivant leur analyse de vulnérabilité et leur processus de développement PoC.
Comme ils l’ont révélé, la faille de téléchargement de pré-authentification CVE-2023-36846 permet le téléchargement non autorisé d’un fichier PHP vers un répertoire restreint en utilisant des noms aléatoires. Un fichier de configuration PHP est également téléchargé pour charger le premier fichier via auto_prepend_file dans la deuxième étape.
La manipulation des variables d’environnement demandées par HTTP comme PHPRC en exploitant le bug CVE-2023-36845 permet de charger le fichier de configuration, déclenchant l’exécution du fichier PHP téléchargé dans la première étape.
Attaques entrantes du pare-feu Juniper probables
Bien que Juniper n’ait fourni aucune information sur l’exploitation active des failles de sécurité dans la nature, watchTowr Labs s’attend à ce que les attaquants commencent bientôt à cibler les appareils Juniper non corrigés dans le cadre d’attaques à grande échelle.
Les administrateurs sont invités à appliquer les correctifs de Juniper ou à mettre à niveau JunOS vers la dernière version ou, au moins, à appliquer les mesures d’atténuation suggérées par le fournisseur dès que possible.
« Compte tenu de la simplicité d’exploitation et de la position privilégiée qu’occupent les appareils JunOS dans un réseau, nous ne serions pas surpris de voir une exploitation à grande échelle », préviennent les chercheurs.
« Ceux qui utilisent un appareil concerné sont invités à mettre à jour vers une version corrigée dès que possible et/ou à désactiver l’accès à l’interface J-Web si possible. »
En juin, la CISA a publié la première directive opérationnelle contraignante (BOD) de cette année ordonnant aux agences fédérales américaines de sécuriser les équipements réseau exposés à Internet ou mal configurés, tels que le pare-feu et les commutateurs de Juniper, dans les deux semaines suivant leur découverte.