Juniper上周發布例外安全公告,修補網路設備作業系統Juno OS可能導致任意程式碼執行、及資料被竊的漏洞。
Juniper這波修補的2個漏洞,分別是CVE-2024-21619及CVE-2024-21620,皆影響防火牆SRX Series及網路交換器Ex Series的作業系統Junos OS中的J-Web介面。其中CVE-2024-21620較為嚴重,為跨站指令碼攻擊,CVSS風險值為8.8。攻擊者可設置惡意URL,讓另一名用戶存取時加以濫用,造成利用該用戶(包括管理員)權限執行任指令。
CVE-2024-21619則是中度風險漏洞,CVSS值5.3。它是J-Web介面上,欠缺對重要功能的指令驗證漏洞。當合法用戶登入時,會產生一個含裝置配置的暫存檔於/cache資料匣中。未經驗證的網路攻擊者可傳送呼叫猜測檔名,成功存取檔案即可能存取到配置資訊。
二項漏洞是由資安業者watchTowr Labs安全及通報。
除了上述漏洞,Juniper這波安全更新還修補了CVE-2023-36846及CVE-2023-36851,分別讓攻擊者經由J-Web傳統特殊呼叫指令到user.php及webauth_operation.php,得以存取檔案系統,後者還可能被串連其他漏洞發動攻擊。
所有Junos OS皆受4項漏洞影響,Juniper已發布更新修補,呼籲管理員儘速更新軟體。若無法及時安裝更新,Juniper建議先關閉J-Web或將存取權限縮至信任的主機。
上周Juniper才針對J-Web介面風險值9.8的漏洞CVE-2024-21591發出安全公告,也影響SRX防火牆及EX交換器。Juniper雖然去年就發布修補程式,但資安廠商Censys到本月初還發現有1.1萬臺Juniper設備仍未安裝更新,使Juniper再度呼籲企業留意。
熱門新聞
2024-11-22
2024-11-22
2024-07-19
2024-07-22
2024-11-12
2024-11-14