Les pirates utilisent une chaîne d’exploits critiques pour cibler les commutateurs Juniper EX et les pare-feu SRX via leur interface de configuration J-Web exposée sur Internet.
Une exploitation réussie permet à des attaquants non authentifiés d’exécuter du code à distance sur des appareils non corrigés.
« Avec une requête spécifique qui ne nécessite pas d’authentification, un attaquant est capable de télécharger des fichiers arbitraires via J-Web, entraînant une perte d’intégrité d’une certaine partie du système de fichiers, ce qui peut permettre un chaînage vers d’autres vulnérabilités », explique Juniper. .
Une semaine après que Juniper a divulgué et publié des mises à jour de sécurité pour corriger les quatre failles pouvant être enchaînées pour réaliser l’exécution de code à distance, les chercheurs en sécurité de watchTowr Labs ont publié un exploit de preuve de concept (PoC) ciblant les bogues du pare-feu SRX (suivi comme CVE-2023). -36846 et CVE-2023-36845).
Alors que Juniper a déclaré qu’il n’y avait aucune preuve d’exploitation active, watchTowr Labs a déclaré qu’il pensait que les attaquants commenceraient bientôt à cibler les appareils Juniper non corrigés dans le cadre d’attaques à grande échelle.
« Compte tenu de la simplicité d’exploitation et de la position privilégiée qu’occupent les appareils JunOS dans un réseau, nous ne serions pas surpris de voir une exploitation à grande échelle », préviennent les chercheurs.
Comme prévu, les chercheurs en sécurité de l’organisation à but non lucratif de sécurité Internet Shadowserver Foundation ont révélé aujourd’hui qu’ils avaient détecté des tentatives d’exploitation commençant le jour même de la publication de l’exploit PoC de watchTowr Labs.
« Depuis le 25 août, nous assistons à des tentatives d’exploitation à partir de plusieurs adresses IP pour Juniper J-Web CVE-2023-36844 (et amis) ciblant le point de terminaison /webauth_operation.php », a tweeté mardi la Shadowserver Foundation.
« Le même jour, un POC d’exploit a été publié. Cela implique de combiner des CVE de moindre gravité pour obtenir un RCE de pré-autorisation. »
Piotr Kijewski, PDG de Shadowserver, a confirmé à Breachtrace que les attaquants s’inspirent d’exploits créés en utilisant le PoC de watchTowr Labs.
« Les tentatives d’exploitation semblent être basées sur cet exploit POC, avec quelques variantes, qui tente de télécharger un fichier PHP puis de l’exécuter. Je suppose donc que nous pouvons nous attendre à des webshells », a déclaré Kijewski.
« Sur la base de nos observations de pots de miel, je dirais que toutes les instances Juniper avec J-Web exposé ont déjà été touchées. 29 adresses IP tentent actuellement ces attaques, [..] éventuellement plusieurs acteurs malveillants. »
Actuellement, plus de 8 200 appareils Juniper ont leurs interfaces J-Web exposées en ligne, selon les données de Shadowserver, la plupart provenant de Corée du Sud.
Il est conseillé aux administrateurs d’appliquer immédiatement les correctifs ou de mettre à niveau JunOS vers la dernière version ou, au moins, de désactiver l’accès Internet à l’interface J-Web pour supprimer le vecteur d’attaque.