Lançado PoC para RCE sem autenticação em firewalls Juniper

Views: 174
0 0
Read Time:2 Minute, 58 Second

Os pesquisadores divulgaram detalhes adicionais sobre as quatro vulnerabilidades recentemente corrigidas que afetam os firewalls SRX e switches EX da Juniper Networks que podem permitir a execução remota de código (RCE), bem como uma exploração de prova de conceito (PoC).

Vulnerabilidades e correções do Junos OS

No início deste mês, a Juniper Networks publicou um boletim de segurança fora de ciclo notificando os clientes que usam seus firewalls SRX e switches EX sobre vulnerabilidades que, encadeadas, permitiriam que invasores executassem códigos remotamente em dispositivos vulneráveis.

As quatro vulnerabilidades podem ser agrupadas em duas categorias:

  • CVE-2023-36846 e CVE-2023-36847 podem permitir que uma função crítica (upload de arquivo por meio da J-Web UI, que é usada para configuração do dispositivo) seja explorada sem autenticação prévia
  • CVE-2023-36844 e CVE-2023-36845 podem permitir que invasores modifiquem certas variáveis ​​de ambiente PHP especificando o nome de um arquivo carregado

A Juniper pediu aos clientes que atualizassem seus dispositivos para uma versão do Junos OS que apresenta patches para essas falhas ou desabilitassem ou limitassem o acesso à UI J-Web.

Eles também observaram que as vulnerabilidades foram relatadas a eles por pesquisadores de segurança – não houve menção de que as vulnerabilidades estivessem sob exploração ativa.

A situação pode mudar em breve

Os pesquisadores do WatchTowr Labs, Aliz Hammond e Sonny, publicaram um post sobre seu mergulho profundo na base de código do Junos OS e sua identificação e exploração bem-sucedidas dessas vulnerabilidades.

Explorar CVE-2023-36846 para fazer upload de um arquivo PHP arbitrário foi relativamente fácil, mas executá-lo foi mais difícil. Eles foram temporariamente frustrados pelo Verified Exec (também conhecido como veriexec), “um esquema de assinatura e verificação de arquivos que protege o sistema operacional (SO) Junos contra software e atividades não autorizadas que possam comprometer a integridade do seu dispositivo”, mas conseguiram contornar isso usando binários já existentes no sistema.

“Logo percebemos que poderíamos usar a variável de ambiente PHPRC , que instrui o PHP sobre onde localizar seu arquivo de configuração, geralmente chamado de php.ini ”, explicaram.

“Podemos usar nosso primeiro bug para fazer upload de nosso próprio arquivo de configuração e usar PHPRC para apontar o PHP para ele. O tempo de execução do PHP irá então carregar devidamente nosso arquivo, que contém uma entrada auto_prepend_file , especificando um segundo arquivo, também carregado usando nosso primeiro bug. Este segundo arquivo contém código PHP normal, que é então executado pelo tempo de execução do PHP antes de qualquer outro código.”

Por fim, eles automatizaram todo o processo em um exploit PoC .

“Dada a simplicidade da exploração e a posição privilegiada que os dispositivos JunOS ocupam numa rede, não ficaríamos surpresos em ver uma exploração em grande escala”, observaram.

Eles reiteraram o conselho da Juniper sobre como corrigir/mitigar o risco de exploração, mas também forneceram possíveis indicadores de tentativas de ataque. Mensagens de erro específicas em arquivos de log PHP no dispositivo podem apontar para acesso anônimo sem uma sessão válida ou tentativas de ações por meio de um endpoint de API sem fornecer informações de autenticação, apontaram .

ATUALIZAÇÃO (29 de agosto de 2023, 14h15 horário do leste dos EUA):

A Shadowserver Foundation afirma que existem mais de 8.200 dispositivos com interfaces J-Web expostas e que os invasores começaram a tentar explorar as vulnerabilidades do Juniper no mesmo dia em que os pesquisadores da watchTowr lançaram a exploração do PoC.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS