Juniper Networks, bazı yönlendiricilerinde kimlik doğrulamanın atlanmasına yol açabilecek kritik bir güvenlik açığını gidermek için bant dışı güvenlik güncellemeleri yayınladı.
CVE-2024-2973 olarak izlenen güvenlik açığının CVSS puanı 10,0 olup, bu da en yüksek ciddiyeti gösteriyor.
Şirket, geçen hafta yayınlanan bir danışma belgesinde “Yedek bir eşle çalışan Juniper Networks Oturum Akıllı Yönlendiricisi veya İletkenindeki Alternatif Yol veya Kanal Kullanarak Kimlik Doğrulamayı Atlama güvenlik açığı, ağ tabanlı bir saldırganın kimlik doğrulamayı atlamasına ve cihazın tam kontrolünü ele geçirmesine olanak tanıyor” dedi. .
Juniper Networks’e göre bu eksiklik yalnızca yüksek kullanılabilirliğe sahip yedekli yapılandırmalarda çalışan yönlendiricileri veya iletkenleri etkiliyor. Etkilenen cihazların listesi aşağıda listelenmiştir:
- Oturum Akıllı Yönlendirici (5.6.15’ten önceki tüm sürümler, 6.0’dan 6.1.9-lts’ye kadar ve 6.2’den 6.2.5-sts’ye kadar)
- Oturum Akıllı İletken (5.6.15’ten önceki tüm sürümler, 6.0’dan 6.1.9-lts’ye kadar ve 6.2’den 6.2.5-sts’ye kadar)
- WAN Assurance Router (6.1.9-lts öncesi 6.0 sürümleri ve 6.2.5-sts öncesi 6.2 sürümleri)
Bu yılın başlarında Hewlett Packard Enterprise (HPE) tarafından yaklaşık 14 milyar dolara satın alınan ağ ekipmanı üreticisi, kusurun doğada aktif olarak kullanıldığına dair hiçbir kanıt bulamadığını söyledi.
Ayrıca, söz konusu güvenlik açığının ürün içi testler sırasında keşfedildiği ve sorunu çözecek herhangi bir geçici çözümün bulunmadığı belirtildi.
Ayrıca, “Bu güvenlik açığı, Mist Cloud’a bağlı MIST tarafından yönetilen WAN Güvencesi yönlendiricileri için etkilenen cihazlara otomatik olarak yamalanmıştır” dedi. “Düzeltmenin, bir İletken tarafından yönetilen yönlendiricilere veya WAN güvence yönlendiricilerine otomatik olarak uygulandığının, yönlendiricinin veri düzlemi işlevleri üzerinde hiçbir etkisi olmadığını unutmamak önemlidir.”
Ocak 2024’te şirket, aynı ürünlerdeki (CVE-2024-21591, CVSS puanı: 9,8) bir saldırganın hizmet reddine (DoS) veya uzaktan kod yürütmesine neden olmasını sağlayabilecek kritik bir güvenlik açığına yönelik düzeltmeler de kullanıma sundu. ve cihazlarda kök ayrıcalıkları elde edin.
Şirketin SRX güvenlik duvarlarını ve EX anahtarlarını etkileyen çok sayıda güvenlik açığının geçen yıl tehdit aktörleri tarafından silahlandırılmasıyla birlikte, kullanıcıların potansiyel tehditlere karşı korunmak için yamaları uygulaması büyük önem taşıyor.