Поделиться
С помощью двух не очень опасных уязвимостей можно легко взломать знаменитые файерволлы Juniper
Эксперты компании watchTowr обнаружили, что объединив две уязвимости, на файерволлах SRX или маршрутизаторах EX можно запустить произвольный код, причём сделать это довольно просто.
Парные связки
Эксперты по информационной безопасности опубликовали экспериментальный эксплойт к уязвимостям в файерволлах Juniper SRX. Сами по себе эти уязвимости первоначально были признаны среднеопасными. Однако потом выяснилось, что их комбинация несёт критическую угрозу - 9,8 балла по шкале CVSS. Комбинация допускает удалённый запуск произвольного кода на файерволлах, на которых не были установлены обновления.
Две недели тому назад Juniper опубликовал информацию сразу у четырёх «багах» в маршрутизаторах EX и файерволлах SRX, и выпустил обновления к ним.
В частности, проблемы были выявлены в интерфейсе J-Web (написан на PHP), с помощью которого администраторы могут перенастраивать устройства Juniper и управлять ими в собственных сетях.
В бюллетене Juniper указывается, что с помощью специализированного запроса, который не требует авторизации, потенциальный злоумышленник может загружать через J-Web произвольные файлы. Это приводит к потере целостности некоторой части фаловой системы, что, в свою очередь, открывает возможность для эксплуатации этой уязвимости в комбинации с другими.
«Комбинированная эксплуатация этих уязвимостей позволяет неавторизованному... злоумышленнику произвести удалённый запуск произвольного кода в контексте устройства», - говорится в сообщении вендора.
Стоит отметить, что для успешной эксплуатации злоумышленник должен быть network-based. Это значит, что злоумышленник сперва должен каким-либо образом просочиться в ту же подсеть, где функционируют атакуемые файерволлы. Учитывая, что угроза получила оценку в 9,8 балла, это обстоятельство никакого смягчающего действия не оказывает.
Исследование и эксплойт
Теперь же эксперты компании watchTowr Labs разработали и опубликовали экспериментальный эксплойт, который как раз и осуществляет последовательную эксплуатацию двух уязвимостей в программной оболочке Juniper SRX - CVE-2023-36846 и CVE-2023-36845.
CVE-2023-36846 - это ошибка отсутствия авторизации для критических функций в Juniper SRX.
По данным экспертов watchTowr, именно эта уязвимость позволяет загрузку PHP-файла в закрытые каталоги под произвольным именем, причём ещё до этапа авторизации. С помощью эксплойта также подгружается файл настроек PHP, которым обеспечивается запуск первого файла через auto_prepend_file на втором этапе.
В свою очередь, уязвимость CVE-2023-36845 допускает модификацию внешних переменных. Благодаря ей открывается возможность с помощью специальных HTTP-запросов манипулировать переменными среды, такими как PHPRC. Это позволяет задействовать настроечный файл, загруженный на первом этапе, и запустить первый PHP-файл (который, скорее всего и будет нести основную вредоносную нагрузку).
Juniper пока не представил никаких данных о практической эксплуатации этих уязвимостей злоумышленниками. Однако эксперты watchTowr предупреждают, что файерволлы этого вендора, на которые не установлены исправления, очень скоро окажутся в прицеле злоумышленников. Более того, ожидаются масштабные атаки, поскольку эксплуатация этих уязвимостей очень проста, а операционная система файерволлов JunOS обладает высокими привилегиями в локальных сетях.
И меры были приняты... или нет?
Системным администраторам настоятельно рекомендуется либо срочно установить патчи, выпущенные Juniper, либо обновить операционную систему устройств до новейшей версии, или, на самый крайний случай, принять промежуточные меры, описанные вендором, - отключить J-Web или ограничить доступ к нему списком доверенных хостов. Причём сделать это необходимо как можно скорее.
«В данном случае существует острейшая необходимость действовать оперативно: речь идёт об уязвимостях, несущих угрозу устройствам, которые должны как раз от угроз защищать, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Нельзя сказать, чтобы уязвимости в файерволлах были большой редкостью, но им следует уделять повышенное внимание, потому что в противном случае злоумышленник может скомпрометировать всю защищаемую ими сеть «в два притопа».
В списке уязвимостей, подлежащих срочному исправлению, также фигурируют CVE-2023-36844 и CVE-2023-36847. Первая, судя по описанию, аналогична CVE-2023-36845, но затрагивает только маршрутизаторы EX.
Так же и CVE-2023-36847 является аналогом CVE-2023-36846, но затрагивает только устройства EX. Соответственно, эти два «бага» также можно скомбинировать для компрометации маршрутизаторов Juniper.
В бюллетене Juniper указывается, что уязвимости присутствуют во всех версиях JunOS в устройствах SRX и EX до индекса 20.4R3-S8, а также во всех вариантах операционной системы с индексами 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3 и 22.4. Безопасными являются только самые последние релизы для каждого из этих индексов.
Короткая ссылка
