.
Mais de 11.500 dispositivos Juniper Networks estão expostos a uma nova vulnerabilidade de execução remota de código (RCE), e os pesquisadores da infosec estão pressionando os administradores para aplicar os patches com urgência.
É um cenário repetido para a Juniper Networks, que só recentemente conseguiu corrigir a última rodada de bugs críticos de RCE no Junos OS, que roda em firewalls SRX e switches EX.
A vulnerabilidade mais recente, rastreada como CVE-2024-21591, afeta a interface de configuração J-Web do software e carrega uma pontuação de gravidade CVSS de 9,8, a mesma da exploração de agosto, que uma plataforma de inteligência de ameaças nos disse que a grande maioria das pessoas não se preocupou remendando.
Os dados coletados pelo Censys confirmaram o número de exposições, e as varreduras revelaram que a maioria dos dispositivos expostos também exibiam seus números de modelo. O firewall SRX110H2-VA foi de longe o mais exposto – um dispositivo que chegou ao fim da vida útil (EOL) em 2018.
A Coreia do Sul teve o maior número de interfaces J-Web expostas, com 3.797, e os EUA seguiram com 1.326. Hong Kong, terceiro colocado, tinha menos de metade das exposições dos EUA, com 583, e a China, em quarto lugar, tinha 455 em 11 de janeiro.
Quanto aos detalhes do problema, um invasor pode explorar a falha de gravação fora dos limites para atingir vários objetivos finais, incluindo obter privilégios de root, causar negação de serviço ou RCE – tudo sem a necessidade de autenticação.
Vulnerabilidades de gravação fora dos limites são as principais culpadas por problemas de segurança, de acordo com o MITRE, e fazem parte da coleção de bugs que a indústria está tentando eliminar com uma mudança para linguagens seguras de memória, incluindo Rust.
A Juniper Networks disse que sua equipe de resposta a incidentes ainda não detectou nenhum sinal de exploração em liberdade, mas tudo isso pode mudar nos dias seguintes às divulgações de vulnerabilidade – especialmente quando equipamentos EOL estão envolvidos.
O seguinte software é vulnerável e os patches devem ser aplicados o mais rápido possível:
-
Versões do Junos OS anteriores a 20.4R3-S9
-
Versões do Junos OS 21.2 anteriores a 21.2R3-S7
-
Versões do Junos OS 21.3 anteriores a 21.3R3-S5
-
Versões do Junos OS 21.4 anteriores a 21.4R3-S5
-
Versões do Junos OS 22.1 anteriores a 22.1R3-S4
-
Versões do Junos OS 22.2 anteriores a 22.2R3-S3
-
Versões Junos OS 22.3 anteriores a 22.3R3-S2
-
Versões do Junos OS 22.4 anteriores a 22.4R2-S2, 22.4R3
Para aqueles que não conseguem aplicar patches rapidamente, a solução sugerida é “desabilitar o J-Web ou limitar o acesso apenas a hosts confiáveis”, diz o comunicado da Juniper Networks.
A divulgação ocorre meses depois de a Cibersegurança e Segurança de Infraestrutura (CISA) dos EUA emitir uma diretiva operacional vinculativa (23-02) destacando os perigos de expor interfaces de gerenciamento à web pública.
As agências federais são obrigadas a parar de expor interfaces à Internet pública ou garantir que estejam protegidas com recursos alinhados à confiança zero, com a CISA preferindo a última opção. Organizações regulares provavelmente deveriam fazer o mesmo, isto é, depois de aplicar os patches.
Em outras notícias, a Juniper Networks poderá em breve fazer parte da HPE, num movimento que irá efetivamente duplicar os negócios do segmento de redes da gigante de TI empresarial.
A HPE anunciou oficialmente sua intenção de comprar a Juniper na semana passada, em um negócio que pode custar cerca de US$ 14 bilhões – a maior aquisição da empresa em algum tempo.
O acordo mais recente desta escala foi em 2011 para a Autonomy, e todos nos lembramos desse notório desastre. ®
.
