.
A Juniper Networks divulgou vulnerabilidades separadas que foi anteriormente acusada de ocultar e pediu desculpas aos clientes pelo erro de comunicação.
A atualização, que aconteceu no final da semana passada, vem logo após os relatórios de Strong The One que destacou como vários fornecedores de segurança foram acusados de violar as regras quando se tratava de atribuir CVEs para vulnerabilidades em seus produtos.
As quatro vulnerabilidades relatadas à Juniper Networks pela pesquisadora da watchTowr, Aliz Hammond, que mais tarde foram descobertas como faltando CVEs individuais, foram agora divulgadas separadamente, de acordo com um aviso de segurança fora de ciclo.
Apesar de enviar quatro relatórios de vulnerabilidade no total, a Juniper creditou ao watchTowr a descoberta de apenas dois. Os outros dois CVEs foram aparentemente corrigidos no lote original de atualizações – acredita-se que o watchTowr os tenha redescoberto recentemente – mas cada um deles agora tem seu próprio CVE distinto.
O comunicado detalha três vulnerabilidades de autenticação ausentes separadas, cada uma com uma pontuação de gravidade de 5,3 e uma falha de script entre sites (XSS) de gravidade 8,8 que pode levar à execução de código com privilégios de administrador se explorada.
Os problemas recentemente divulgados afetam o J-Web no Junos OS SRX Series e EX Series e são rastreados como:
-
CVE-2024-21619
-
CVE-2023-36846
-
CVE-2024-21620
-
CVE-2023-36851
“Várias vulnerabilidades no componente J-Web do Juniper Networks Junos OS nas séries SRX e EX foram resolvidas por meio da aplicação de correções específicas para resolver cada vulnerabilidade”, diz o comunicado.
“Esses problemas afetam todas as versões do Juniper Networks Junos OS nas séries SRX e EX. Como cada problema é corrigido em diferentes versões do Junos, verifique a seção de solução e observe que quaisquer versões anteriores e versões não mencionadas para serem corrigidas são afetadas .”
Na segunda-feira, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a vulnerabilidade do XSS, dizendo: “A CISA incentiva os usuários e administradores a revisar o boletim Juniper e aplicar as atualizações necessárias”.
A Juniper pediu desculpas aos clientes por e-mail e explicou que a empresa mudou sua avaliação das vulnerabilidades relatadas pelos pesquisadores, de acordo com um boletim com acesso pago visto pelo watchTowr.
Hammond abordou originalmente o fornecedor em 2023 para divulgar as quatro vulnerabilidades, e a Juniper respondeu solicitando um adiamento na janela típica de relatórios de 90 dias do watchTowr.
Procurou tempo adicional para desenvolver e lançar correções para as falhas e permitir que os clientes as aplicassem antes de serem divulgadas publicamente – o que não é inédito neste tipo de coisa.
No entanto, quando os patches mais recentes do Juniper foram lançados em 11 de janeiro, as vulnerabilidades do Hammond não foram atribuídas a CVEs individuais. Hammond também relatou confusão sobre por que o fornecedor não emitiu um patch fora de ciclo, apesar de considerar os problemas sérios o suficiente para justificar um atraso no processo de divulgação.
O cronograma de patches da Juniper está estruturado para lançar correções na segunda quarta-feira do primeiro mês de cada trimestre, uma política que Hammond descreveu anteriormente como “estranha”, dada a urgência com que as atualizações de segurança deveriam ser aplicadas.
Isso levanta questões sobre a abordagem da Juniper para corrigir vulnerabilidades, dado que quanto mais tempo as vulnerabilidades ficam sem solução, maior é a janela potencial disponível para os invasores explorá-las.
As vulnerabilidades de autenticação ausentes estão entre as mais fáceis de explorar, por isso é intrigante o motivo pelo qual a Juniper não pensou em registrar cada uma das três que agora são divulgadas com CVEs.
A Juniper ofereceu uma explicação em seu boletim atualizado voltado ao cliente, de acordo com watchTowr, dizendo que, devido a razões não técnicas, ela normalmente se aplica a CVEs no final do processo de divulgação.
Desde então, o fornecedor revisou esse processo, acrescentando que originalmente pretendia registrar CVEs para as quatro vulnerabilidades agora divulgadas quando as correções estivessem disponíveis para todas as versões suportadas. No entanto, ainda não respondeu aos nossos pedidos de comentários. ®
.
