Juniper Networks, SRX Serisi ve EX Serisindeki, bir tehdit aktörünün hassas sistemlerin kontrolünü ele geçirmek için kullanabileceği yüksek önemdeki kusurları gidermek için bant dışı güncellemeler yayınladı.
Şu şekilde izlenen güvenlik açıkları: CVE-2024-21619 ve CVE-2024-21620, J-Web bileşenine dayanır ve Junos OS’nin tüm sürümlerini etkiler. Diğer iki eksiklik olan CVE-2023-36846 ve CVE-2023-36851 daha önce şirket tarafından Ağustos 2023’te açıklanmıştı.
- CVE-2024-21619 (CVSS puanı: 5,3) – Hassas yapılandırma bilgilerinin açığa çıkmasına yol açabilecek eksik bir kimlik doğrulama güvenlik açığı
- CVE-2024-21620 (CVSS puanı: 8,8) – Özel hazırlanmış bir istek aracılığıyla hedefin izinleriyle rastgele komutların yürütülmesine yol açabilecek bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
Siber güvenlik firması watchTowr Labs, sorunları keşfetme ve raporlama konusunda itibar kazandı. İki güvenlik açığı aşağıdaki sürümlerde giderilmiştir:
- CVE-2024-21619 – 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1, ve sonraki tüm sürümler
- CVE-2024-21620 – 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2 ve sonraki tüm sürümler
Düzeltmeler uygulanıncaya kadar geçici azaltımlar olarak şirket, kullanıcıların J-Web’i devre dışı bırakmasını veya erişimi yalnızca güvenilir ana bilgisayarlara kısıtlamasını öneriyor.
Hem CVE-2023-36846 hem de CVE-2023-36851’in Kasım 2023’te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendiğini belirtmekte fayda var.
Bu ayın başlarında Juniper Networks, aynı ürünlerdeki (CVE-2024-21591, CVSS puanı: 9,8) bir saldırganın hizmet reddine (DoS) veya uzaktan kod yürütmesine neden olmasını sağlayabilecek kritik bir güvenlik açığını içerecek düzeltmeler de yayınladı. ve cihazda kök ayrıcalıkları edinin.