Juniper Networks, SRX Serisi güvenlik duvarlarında ve EX Serisi anahtarlarında kritik bir uzaktan kod yürütme (RCE) güvenlik açığını gidermek için güncellemeler yayınladı.
Sorun şu şekilde izlendi: CVE-2024-21591CVSS puanlama sisteminde 9,8 olarak derecelendirilmiştir.
Juniper Networks Junos OS SRX Serisi ve EX Serisinin J-Web’indeki sınır dışı yazma güvenlik açığı, kimliği doğrulanmamış, ağ tabanlı bir saldırganın Hizmet Reddi (DoS) veya Uzaktan Kod Yürütülmesine (RCE) neden olmasına ve cihazda kök ayrıcalıkları elde edin”, şirket söz konusu bir danışma belgesinde.
Ağ ekipmanı uzmanı olarak ayarlanacak olan Hewlett Packard Enterprise (HPE) tarafından satın alındı 14 milyar dolar karşılığında, sorunun kötü bir aktörün keyfi belleğin üzerine yazmasına izin veren güvenli olmayan bir işlevin kullanılmasından kaynaklandığı belirtildi.
Kusur aşağıdaki sürümleri etkilemektedir ve 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2 sürümlerinde düzeltilmiştir. -S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 ve sonrası –
- 20.4R3-S9’dan önceki Junos işletim sistemi sürümleri
- 21.2R3-S7’den önceki Junos OS 21.2 sürümleri
- Junos OS 21.3’ün 21.3R3-S5’ten önceki sürümleri
- Junos OS 21.4’ün 21.4R3-S5’ten önceki sürümleri
- Junos OS 22.1’in 22.1R3-S4’ten önceki sürümleri
- 22.2R3-S3’ten önceki Junos OS 22.2 sürümleri
- 22.3R3-S2’den önceki Junos OS 22.3 sürümleri ve
- 22.4R2-S2, 22.4R3’ten önceki Junos OS 22.4 sürümleri
Düzeltmeler uygulanıncaya kadar geçici çözüm olarak şirket, kullanıcıların J-Web’i devre dışı bırakmasını veya erişimi yalnızca güvenilir ana bilgisayarlarla kısıtlamasını öneriyor.
Junos OS ve Junos OS Evolved’deki yüksek önemdeki bir hata da Juniper Networks tarafından çözüldü (CVE-2024-21611CVSS puanı: 7,5), kimliği doğrulanmamış, ağ tabanlı bir saldırgan tarafından DoS durumuna neden olacak şekilde silah haline getirilebilir.
Güvenlik açıklarından yararlanıldığına dair kanıtlar olsa da, şirketin SRX güvenlik duvarlarını ve EX anahtarlarını etkileyen çok sayıda güvenlik açığı geçen yıl tehdit aktörleri tarafından kötüye kullanıldı.