Juniper Networks a publié des mises à jour pour corriger une vulnérabilité critique d’exécution de code à distance (RCE) dans ses pare-feu SRX Series et ses commutateurs EX Series.
Le problème, suivi comme CVE-2024-21591est noté 9,8 sur le système de notation CVSS.
« Une vulnérabilité d’écriture hors limites dans J-Web de Juniper Networks Junos OS SRX Series et EX Series permet à un attaquant non authentifié basé sur le réseau de provoquer un déni de service (DoS) ou une exécution de code à distance (RCE) et obtenir les privilèges root sur l’appareil », la société dit dans un avis.
La major des équipements réseaux, qui devrait être acquis par Hewlett Packard Enterprise (HPE) pour 14 milliards de dollars, a déclaré que le problème était dû à l’utilisation d’une fonction non sécurisée permettant à un acteur malveillant d’écraser une mémoire arbitraire.
La faille affecte les versions suivantes et a été corrigée dans les versions 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2. -S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 et versions ultérieures –
- Versions Junos OS antérieures à 20.4R3-S9
- Versions Junos OS 21.2 antérieures à 21.2R3-S7
- Versions Junos OS 21.3 antérieures à 21.3R3-S5
- Versions Junos OS 21.4 antérieures à 21.4R3-S5
- Versions Junos OS 22.1 antérieures à 22.1R3-S4
- Versions Junos OS 22.2 antérieures à 22.2R3-S3
- Junos OS 22.3 versions antérieures à 22.3R3-S2, et
- Versions Junos OS 22.4 antérieures à 22.4R2-S2, 22.4R3
En guise de solutions temporaires jusqu’à ce que les correctifs soient déployés, la société recommande aux utilisateurs de désactiver J-Web ou de restreindre l’accès aux seuls hôtes de confiance.
Juniper Networks a également résolu un bogue de haute gravité dans Junos OS et Junos OS Evolved (CVE-2024-21611score CVSS : 7,5) qui pourrait être utilisée par un attaquant réseau non authentifié pour provoquer une condition DoS.
Bien qu’il existe des preuves que les vulnérabilités sont exploitées à grande échelle, de multiples failles de sécurité affectant les pare-feu SRX et les commutateurs EX de l’entreprise ont été exploitées par des acteurs malveillants l’année dernière.