Juniper Networks bant dışı güncellemeler yayınladı yüksek önemdeki kusurları ele almak SRX Serisi ve EX Serisinde, bir tehdit aktörü tarafından duyarlı sistemlerin kontrolünü ele geçirmek için kullanılabilecek.
Şu şekilde izlenen güvenlik açıkları: CVE-2024-21619 ve CVE-2024-21620, J-Web bileşenine dayanır ve Junos OS’nin tüm sürümlerini etkiler. Diğer iki eksiklik, CVE-2023-36846 ve CVE-2023-36851 idi. daha önce açıklandı şirket tarafından Ağustos 2023’te.
- CVE-2024-21619 (CVSS puanı: 5,3) – Hassas yapılandırma bilgilerinin açığa çıkmasına yol açabilecek eksik bir kimlik doğrulama güvenlik açığı
- CVE-2024-21620 (CVSS puanı: 8,8) – Özel hazırlanmış bir istek aracılığıyla hedefin izinleriyle rastgele komutların yürütülmesine yol açabilecek bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
Siber güvenlik firması watchTowr Labs kredilendirildi sorunları keşfederek ve raporlayarak. İki güvenlik açığı aşağıdaki sürümlerde giderilmiştir:
- CVE-2024-21619 – 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1, ve sonraki tüm sürümler
- CVE-2024-21620 – 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2 ve sonraki tüm sürümler
Düzeltmeler uygulanıncaya kadar geçici azaltımlar olarak şirket, kullanıcıların J-Web’i devre dışı bırakmasını veya erişimi yalnızca güvenilir ana bilgisayarlara kısıtlamasını öneriyor.
Hem CVE-2023-36846 hem de CVE-2023-36851’in Kasım 2023’te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendiğini belirtmekte fayda var.
Bu ayın başlarında Juniper Networks, aynı ürünlerdeki (CVE-2024-21591, CVSS puanı: 9,8) bir saldırganın hizmet reddine (DoS) veya uzaktan kod yürütmesine neden olmasını sağlayabilecek kritik bir güvenlik açığını içerecek düzeltmeler de yayınladı. ve cihazlarda kök ayrıcalıkları elde edin.