هکرها از یک زنجیره اکسپلویت بحرانی برای هدف قراردادن سوئیچ های Juniper EX و فایروال های SRX از طریق رابط پیکربندی J-Web استفاده می کنند. اکسپلویت موفقیتآمیز از این آسیب¬پذیری، به مهاجمان تاییدهویت نشده امکان میدهد، تا کد از راه دور خود را روی دستگاههای وصلهنشده Juniper اجرا کنند. مهاجم میتواند با یک درخواست خاص که نیازی به تایید هویت ندارد، فایلهای دلخواه را از طریقJ-Web آپلود کند که این عامل، منجر به از دست دادن یکپارچگی قسمت خاصی از سیستم فایل میشود که ممکن است امکان زنجیرهسازی به آسیبپذیریهای دیگر را فراهم کند .
یک هفته پس از افشا و انتشار بهروزرسانیهای امنیتی Juniper برای اصلاح چهار آسیب پذیری که برای دستیابی به اجرای کد از راه دور زنجیرهای استفاده شده است، محققان امنیتی WatchTowr Labs یک اکسپلویت از اثبات مفهوم (PoC) را منتشر کردند که باگهای فایروال SRX را هدف قرار میدهد. این آسیب پذیری با عنوان CVE-2023-36846 و CVE-2023-36845ارزیابی شده است.
با توجه به سادگی اکسپلویت و موقعیت ممتازی که دستگاه های JunOS در یک شبکه دارند، امکان اکسپلویت در مقیاس بزرگ فراهم است.
در حالی که Juniper گفته است هیچ مدرکی بر بهره برداری فعال وجود ندارد، WatchTowr Labs می گوید که معتقد است، مهاجمان به زودی دستگاه های Juniper وصله نشده را در حملات گسترده هدف قرار خواهند داد.
مدیر عامل Shadowserver، تأیید کرده است که مهاجمان از اکسپلویتهایی استفاده میکنند که با استفاده از PoC WatchTowr Labs ساخته شدهاند. به نظر می رسد تلاش های بهره برداری مبتنی بر این POC اکسپلویت است و مهاجم با اعمال برخی تغییرات، تلاش می کند یک فایل PHP را آپلود کند و سپس آن را اجرا کند.
به ادمین ها توصیه می شود وصله ها را اعمال کنند و JunOS را به آخرین نسخه ارتقا دهند و یا دسترسی اینترنت به رابط J-Web را برای حذف بردار حمله غیرفعال کنند.
منابع خبر
[2] https://thehackernews.com/2023/08/alert-juniper-firewalls-openfire-and.html
- 112