Exploit para bugs em firewalls Juniper permite ataques RCE

Views: 317
0 0
Read Time:2 Minute, 26 Second

Código de exploração de prova de conceito para vulnerabilidades nos firewalls da empresa podem permitir que invasores obtenham execução remota de código no JunOS

White and blue firewall activated on server room data center 3D rendering

A Juniper divulgou quatro bugs de gravidade média em seus switches EX e firewalls SRX e lançou patches de segurança há duas semanas. As falhas de segurança foram encontradas na interface J-Web baseada em PHP que administradores usam para gerenciar e configurar os dispositivos em suas redes.

“Com uma solicitação específica que não requer autenticação, um invasor é capaz de fazer upload de arquivos via J-Web, levando à perda de integridade de uma determinada parte do sistema de arquivos, o que pode permitir o encadeamento a outras vulnerabilidades”, disse a empresa em um comunicado. “Ao encadear a exploração dessas vulnerabilidades, um invasor baseado em rede pode executar remotamente código nos dispositivos.”

Em razão desses bugs, pesquisadores de segurança do watchTowr Labs desenvolveram e lançaram uma exploração de prova de conceito (PoC) que encadeia as falhas do firewall SRX, uma autenticação ausente para vulnerabilidade de função crítica (CVE-2023-36846) e um bug de modificação de variável externa do PHP (CVE- 2023-36845). Eles também publicaram um aprofundamento técnico descrevendo a análise de vulnerabilidade e processo de desenvolvimento de PoC.

Conforme revelado, a falha de upload de pré-autenticação no CVE-2023-36846 permite o upload não autorizado de um arquivo PHP para um diretório restrito usando nomes aleatórios. Um arquivo de configuração PHP também é carregado para carregar o primeiro arquivo por meio de ‘auto_prepend_file’ na segunda etapa.

A manipulação de variáveis de ambiente solicitadas por HTTP, como PHPRC, explorando o bug CVE-2023-36845 ajuda a carregar o arquivo de configuração, acionando a execução do arquivo PHP carregado na primeira etapa.

Embora a Juniper não tenha fornecido nenhuma informação sobre a exploração ativa das falhas de segurança, o watchTowr Labs avalia que, em breve, os invasores devem começar a atacar em grande escala os dispositivos que não foram corrigidos.

Os administradores são orientados a aplicar os patches da Juniper ou atualizar o JunOS para a versão mais recente ou, ao menos, aplicar as medidas de mitigação sugeridas pelo fornecedor o mais rápido possível. “Dada a simplicidade da exploração e a posição privilegiada que os dispositivos JunOS ocupam numa rede, não ficaríamos surpresos em ver uma exploração em grande escala”, alertaram os pesquisadores. “Aqueles que executam um dispositivo afetado são orientados a atualizar para uma versão corrigida o mais rápido possível ou desativar o acesso à interface J-Web, se possível.”

Em junho, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu a primeira diretiva operacional vinculativa (BOD) deste ano ordenando que as agências federais americanas protegessem equipamentos de rede expostos à internet ou mal configurados, como o firewall e dispositivos de switch da Juniper, dentro de duas semanas após a descoberta.

FONTE: CISO ADVISOR

POSTS RELACIONADOS