Circa il 79% dei firewall Juniper SRX esposti pubblicamente rimangono vulnerabili a una singola falla di sicurezza che permette a un attaccante non autenticato di eseguire codice a distanza sui dispositivi, secondo quanto riportato dalla piattaforma di intelligence sulle minacce VulnCheck. Juniper ha rivelato e risolto cinque falle, che influenzano tutte le versioni del Junos OS su firewall SRX e switch della serie EX, in un bollettino di sicurezza fuori ciclo il 17 agosto. La società di networking e sicurezza ha aggiornato l’avviso il 7 settembre, dopo che i ricercatori di sicurezza hanno pubblicato una prova di concetto (PoC) di exploit, e Juniper ha rilevato tentativi di exploit.
Dettagli delle vulnerabilità
Due delle falle sono vulnerabilità di modifica delle variabili esterne PHP (CVE-2023-36844 e CVE-2023-36845). Le altre tre sono descritte come “vulnerabilità di mancata autenticazione per funzione critica” (CVE-2023-36846, CVE-2023-36847 e CVE-2023-36851). Non è chiaro perché Juniper abbia scelto di enumerare cinque CVE invece di due, in quanto le descrizioni delle due vulnerabilità di modifica delle variabili esterne PHP sono identiche, così come quelle del trio di vulnerabilità di mancata autenticazione per funzione critica. Questi bug hanno tutti un punteggio di gravità CVSS di 5.3 su una scala di dieci punti, ma poiché possono essere combinati per ottenere l’esecuzione di codice remoto (RCE), la serie di falle di sicurezza ha guadagnato un punteggio critico di 9.8 CVSS.
Analisi di VulnCheck e strumenti di scansione
Il 25 agosto, i cacciatori di bug del fornitore di servizi di scansione delle vulnerabilità watchTowr hanno pubblicato una prova di concetto di exploit multi-step per due dei bug, CVE-2023-36845 e CVE-2023-36846, che permetteva l’esecuzione di codice remoto non autenticata caricando due file. La situazione è peggiorata quando VulnCheck ha pubblicato un’analisi il lunedì successivo, in cui il suo CTO Jacob Baines ha scritto che la sola CVE-2023-36845 può ottenere l’esecuzione di codice remoto non autenticata. VulnCheck ha anche rilasciato uno strumento di scansione gratuito per identificare i firewall vulnerabili alla CVE-2023-36845. Nonostante le falle nel kit di Juniper siano note e dimostrate essere una vera minaccia, VulnCheck ritiene che la maggior parte dei firewall esposti su internet interessati, circa 15.000 dispositivi, non siano ancora stati aggiornati.
Raccomandazioni per la sicurezza
Se i vostri dispositivi rimangono vulnerabili, è consigliabile applicare le patch il prima possibile per prevenire potenziali attacchi che potrebbero compromettere la sicurezza della rete.