Juniper Networks a publié des mises à jour de sécurité pour corriger une vulnérabilité critique d’exécution de code à distance (RCE) pré-authentification dans ses pare-feu de la série SRX et ses commutateurs de la série EX.
Trouvée dans les interfaces de configuration J-Web des appareils et suivie sous la référence CVE-2024-21591, cette faille de sécurité critique peut également être exploitée par des acteurs de la menace non authentifiés pour obtenir des privilèges root ou lancer des attaques par déni de service (DoS) contre des appareils non corrigés.
« Ce problème est causé par l’utilisation d’une fonction non sécurisée permettant à un attaquant d’écraser de la mémoire arbitraire », a expliqué la société dans un avis de sécurité publié mercredi.
Juniper a ajouté que son équipe de réponse aux incidents de sécurité n’avait aucune preuve que la vulnérabilité était exploitée à l’état sauvage.
La liste complète des versions vulnérables du système d’exploitation Junos affectées par le bogue SRX Series et EX Series J-Web comprend:
- Versions du système d’exploitation Junos antérieures à 20. 4R3-S9
- Versions de Junos OS 21.2 antérieures à 21. 2R3-S7
- Versions de Junos OS 21.3 antérieures à 21. 3R3-S5
- Versions de Junos OS 21.4 antérieures à 21. 4R3-S5
- Versions Junos OS 22.1 antérieures à 22. 1R3-S4
- Versions de Junos OS 22.2 antérieures à 22. 2R3-S3
- Versions de Junos OS 22.3 antérieures à 22. 3R3-S2
- Versions de Junos OS 22.4 antérieures à 22. 4R2-S2, 22. 4R3
Le bogue a été corrigé dans Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 et toutes les versions ultérieures.
Il est conseillé aux administrateurs d’appliquer immédiatement les mises à jour de sécurité ou de mettre à niveau JunOS vers la dernière version ou, au moins, de désactiver l’interface J-Web pour supprimer le vecteur d’attaque.
Une autre solution temporaire consiste à restreindre l’accès à J-Web aux seuls hôtes réseau de confiance jusqu’à ce que les correctifs soient déployés.
Selon les données de l’organisation de sécurité Internet à but non lucratif Shadowserver, plus de 8 200 appareils Juniper ont leurs interfaces J-Web exposées en ligne, la plupart en Corée du Sud (Shodan en suit également plus de 9 000).
CISA a également mis en garde en novembre contre un exploit Juniper pre-auth RCE utilisé dans la nature, enchaînant quatre bogues suivis sous les noms CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 et CVE-2023-36847 et affectant les pare-feu SRX et les commutateurs EX de l’entreprise.
L’alerte est survenue des mois après que ShadowServer a détecté les premières tentatives d’exploitation le 25 août, une semaine après la publication des correctifs par Juniper et dès que watchTowr Labs a publié un exploit de preuve de concept (PoC).
En septembre, la société de veille sur les vulnérabilités VulnCheck a découvert que des milliers d’appareils Juniper étaient toujours vulnérables aux attaques utilisant cette chaîne d’exploits.
CISA a ajouté les quatre bogues à son Catalogue de vulnérabilités exploitées connues le 17 novembre, les qualifiant de « vecteurs d’attaques fréquents pour les cyberacteurs malveillants » avec « des risques importants pour l’entreprise fédérale. »
L’agence américaine de cybersécurité a publié la première directive opérationnelle contraignante (BOD) de l’année en juin dernier, obligeant les agences fédérales à sécuriser leurs équipements réseau exposés à Internet ou mal configurés (tels que les pare-feu et commutateurs Juniper) dans un délai de deux semaines suivant la découverte.