Juniper Networks, 10’luk mümkün olan en yüksek CVSS puanına sahip kritik bir kimlik doğrulama atlama güvenlik açığı için acil durum yaması yayınladı.
CVE-2024-2973 altında takip edilen güvenlik açığı, Juniper Networks Session Smart Router, Session Smart Conductor ve WAN Assurance Router’ı etkiliyor ve bir tehdit aktörünün yama uygulanmamış bir cihazın tam kontrolünü ele geçirmesine olanak tanıyabilir.
“Yalnızca yüksek kullanılabilirlikli yedekli yapılandırmalarda çalışan Yönlendiriciler veya İletkenler bu güvenlik açığından etkileniyor” acil güvenlik danışmanlığı söz konusu.
Yönlendirici kusuru İç güvenlik testleri sırasında tespit edilen Juniper Networks, hatanın henüz vahşi ortamda istismar edildiğine dair bir kanıt bulunmadığını ekledi. Şirket, Oturum Akıllı Yönlendiricileri SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts ve sonraki sürümler için acil güncellemeler önerdi.
Juniper’in tavsiyesi, “İletken tarafından yönetilen bir dağıtımda, yalnızca İletken düğümlerini yükseltmek yeterlidir ve düzeltme, bağlı tüm yönlendiricilere otomatik olarak uygulanacaktır.” diye ekledi. “Pratik olarak, yönlendiricilerin yine de sabit bir sürüme yükseltilmesi gerekiyor, ancak yükseltilmiş bir İletkene bağlandıklarında savunmasız olmayacaklar.”
Juniper, müşterilerine yönetilen yönlendiricilerin otomatik olarak güncelleneceğini ve bunun veri düzlemi yönlendirici işlevlerini etkilemeyeceğini garanti etti.
Juniper, “Düzeltmenin uygulanması üretim trafiğini aksatmıyor” dedi. “Web tabanlı yönetim ve API’lerde anlık bir kesinti (30 saniyeden az) olabilir ancak bu durum hızlı bir şekilde çözülecektir.”