Yönetim ve Risk Yönetimi, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Yama Yönetimi
Güvenlik Açığı Kimlik Doğrulama Atlamasına İzin Verebilir; Henüz Bir İstismar Kanıtı Yok
Rashmi Ramesh (raşmiramesh_) •
1 Temmuz 2024
Juniper Networks, bilgisayar korsanlarının üç Juniper ürününde kimlik doğrulamayı atlamasına izin verebilecek maksimum önem derecesine sahip bir güvenlik açığı için bant dışı bir düzeltme yayınladı.
Ayrıca bakınız: Gartner 2024 Sihirli Dörtgen: Kurumsal Kablolu ve Kablosuz LAN Altyapısı
Ağ ekipmanı üreticisi, bilgisayar korsanlarının Session Smart Router ve Conductor ile WAN Assurance Router ürünlerindeki kusurdan yararlandığına dair kanıt bulamadığını söyledi.
CVE-2024-2973 olarak takip edilen CVSS 10 dereceli hata, bir saldırganın güvenliği ihlal edilen sistemin tam kontrolünü ele geçirmesine olanak tanıyabilir.
Juniper, Session Smart Conductor platformu tarafından çalıştırılan yönlendiricilerin güvenlik düzeltmesini bağlı cihazlara otomatik olarak uygulayacak şekilde yükseltilmesini tavsiye etti ve ardından kullanıcıların her yönlendirici için yama uygulamasını ayrı ayrı kontrol etmelerini önerdi. Yama, bulut platformu Juniper Mist tarafından yönetiliyorsa WAN Assurance Yönlendiricilerine otomatik olarak uygulanacaktır.
Şirket, dahili ürün testleri sırasında keşfedilen soruna yönelik herhangi bir geçici çözüm bulunmadığını söyledi.
Güvenlik açığı yalnızca yüksek kullanılabilirliğe sahip yedekli yapılandırmalarda (hizmet sürekliliğinin kritik olduğu çözümler) çalışan yönlendiricileri ve iletkenleri etkiliyor. Bu, işletmelerdeki ağ altyapısında, veri merkezlerinde, kritik altyapı kuruluşlarında ve devlet hizmetlerinde kullanılan güvenlik açığı bulunan yapılandırmanın ciddi kesintilere neden olabileceği anlamına geliyor.
Hackerlar geçmişte Juniper’ın kendileri hakkındaki ayrıntıları yayınlamasından günler sonra güvenlik açıklarından yararlanmıştı. Juniper’ın eyleminin hemen ardından ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, federal kurumlara dört gün içinde yama yapmalarını söyledi.
Satıcı, son güncellemede düzeltmenin uygulanmasının üretim trafiğini aksatmayacağını ancak web tabanlı yönetim ve API’ler için 30 saniyelik bir kesintiye neden olabileceğini söyledi.