.
Cerca de 79 por cento dos firewalls Juniper SRX públicos permanecem vulneráveis a uma única falha de segurança que pode permitir que um invasor não autenticado execute remotamente código nos dispositivos, de acordo com o provedor de plataforma de inteligência de ameaças VulnCheck.
A Juniper revelou e corrigiu cinco falhas, que afetam todas as versões do Junos OS em firewalls SRX e switches da Série EX, em um boletim de segurança fora de ciclo em 17 de agosto. Atualizada o comunicado em 7 de setembro, depois que pesquisadores de segurança publicaram uma exploração de prova de conceito (PoC) e a Juniper detectou tentativas de exploração.
Duas das falhas são vulnerabilidades de modificação de variáveis externas do PHP (CVE-2023-36844 e CVE-2023-36845). Os outros três são descritos como “Vulnerabilidade de autenticação ausente para função crítica” (CVE-2023-36846, CVE-2023-36847 e CVE-2023-36851).
Conseguimos a execução remota e não autenticada de código sem descartar um arquivo no disco
Não está claro por que a Juniper escolheu enumerar cinco CVEs em vez de dois. As descrições da organização para os dois bugs de modificação de variáveis externas do PHP são idênticas, assim como o trio de autenticação ausente para vulnerabilidades de funções críticas.
Os bugs são todos classificados como 5,3 na escala de classificação de gravidade CVSS de dez pontos. Mas como podem ser combinadas para alcançar a execução remota de código (RCE), a série de falhas de segurança juntas obteve uma pontuação crítica de 9,8 no CVSS.
Em 25 de agosto, caçadores de bugs do provedor de serviços de verificação de vulnerabilidades watchTowr Publicados uma exploração de prova de conceito em várias etapas para dois dos bugs, CVE-2023-36845 e CVE-2023-36846, que permitiu a execução remota de código não autenticado por meio do upload de dois arquivos.
Fica pior: VulnCheck na segunda-feira Publicados análise na qual seu CTO Jacob Baines escreveu que CVE-2023-36845 sozinho pode alcançar execução remota de código não autenticado.
Veja como a Juniper descreve o CVE-2023-36845:
Juniper não respondeu Strong The Onesobre a nova exploração do RCE, as descrições confusas do CVE ou o número de dispositivos ainda vulneráveis.
Para a exploração do VulnCheck, Baines abusou stdin para apontar o PHPRC variável de ambiente nos dados de configuração de sua escolha em uma solicitação HTTP sem precisar fazer upload de um arquivo separado. Veja como Baines explicou a primeira parte da exploração:
Para a segunda parte do ataque, Baines usou dois recursos PHP. Primeiro, auto_prepend_file, que ele explica “faz com que o arquivo fornecido seja adicionado usando a função require”. Ele combinou isso com allow_url_includeque “permite o uso de wrappers fopen com reconhecimento de URL com as seguintes funções: include, include_once, require, require_once.”
“Simplesmente, usando apenas CVE-2023-36845, alcançamos a execução remota e não autenticada de código sem realmente colocar um arquivo no disco”, escreveu Baines. “Nossa exploração privada estabelece um shell reverso, mas isso é bastante trivial quando você chega a esse ponto.”
VulnCheck também lançou um ferramenta de digitalização gratuita para identificar firewalls vulneráveis ao CVE-2023-36845. Apesar das falhas no kit da Juniper serem conhecidas e terem sido demonstradas como uma ameaça real, a VulnCheck acredita que a maioria dos firewalls afetados voltados para a Internet – cerca de 15.000 dispositivos – ainda não foram corrigidos.
Se seus dispositivos permanecerem vulneráveis, corrija-os o mais rápido possível. ®
.
