Les nouvelles failles du système d'exploitation Juniper Junos exposent les appareils aux attaques à distance - Corrigez maintenant

19 août 2023THNSécurité réseau / Vulnérabilité

La société de matériel réseau Juniper Networks a publié une mise à jour de sécurité « hors cycle » pour corriger plusieurs failles dans le composant J-Web de Junos OS qui pourraient être combinées pour permettre l’exécution de code à distance sur des installations sensibles.

Les quatre vulnérabilités ont une cote CVSS cumulée de 9,8, ce qui les rend critiques en gravité. Ils affectent toutes les versions de Junos OS sur les séries SRX et EX.

« En enchaînant l’exploitation de ces vulnérabilités, un attaquant non authentifié basé sur le réseau peut être en mesure d’exécuter du code à distance sur les appareils », a déclaré la société. dit dans un avis publié le 17 août 2023.

L’interface J-Web permet aux utilisateurs de configurer, gérer et surveiller les appareils Junos OS. Une brève description des défauts est la suivante –

CVE-2023-36844 et CVE-2023-36845 (Scores CVSS : 5,3) – Deux vulnérabilités de modification de variables externes PHP dans J-Web de Juniper Networks Junos OS sur EX Series et SRX Series permettent à un attaquant réseau non authentifié de contrôler certaines variables d’environnement importantes.
CVE-2023-36846 et CVE-2023-36847 (Scores CVSS : 5,3) – Deux authentifications manquantes pour les vulnérabilités de fonction critiques dans Juniper Networks Junos OS sur EX Series et SRX Series permettent à un attaquant non authentifié basé sur le réseau d’avoir un impact limité sur l’intégrité du système de fichiers.

Un acteur malveillant pourrait envoyer une demande spécialement conçue pour modifier certaines variables d’environnement PHP ou télécharger des fichiers arbitraires via J-Web sans aucune authentification pour exploiter avec succès les problèmes susmentionnés.

Les vulnérabilités ont été corrigées dans les versions ci-dessous –

Série EX – Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, et 23.2R1
Série SRX – Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, et 23.2R1

Il est recommandé aux utilisateurs d’appliquer les correctifs nécessaires pour atténuer les menaces potentielles d’exécution de code à distance. Comme solution de contournement, Juniper Networks suggère aux utilisateurs de désactiver J-Web ou de limiter l’accès aux seuls hôtes de confiance.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

ttn-fr-57

Georgina Verbaan est critiquée après une étrange apparition à la télévision : « Quel clown ! »

Le Maroc à la place de l’Espagne : le changement d’association de Brahim Diaz du Real Madrid

Furlani, le PDG avec un cœur Rossoneri qui s’occupe des comptes et du marché des transferts

Niners Chemnitz après une démonstration de force en demi-finale

Les nouvelles failles du système d’exploitation Juniper Junos exposent les appareils aux attaques à distance – Corrigez maintenant