Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Operasyonları
Saldırganlar, Uzaktan Kod Yürütmek için Aktif Olarak Güvenlik Açıklarını Zincirlemeye Çalışıyor
Mathew J. Schwartz (euroinfosec) •
1 Eylül 2023
Güvenlik uzmanları, Juniper Networks cihazlarına sahip kuruluşları, saldırganların istismar etmeye çalıştığı bir dizi hataya yama yapmak için bu cihazları derhal güncellemeleri konusunda uyarıyor.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Juniper, 17 Ağustos’ta, 80 ve 443 numaralı bağlantı noktalarında varsayılan olarak etkinleştirilen Juniper Web Device Manager (veya J-Web) grafik kullanıcı arayüzünde birden fazla güvenlik açığının bulunduğuna dair bant dışı bir güvenlik uyarısı yayınladı.
Juniper, “Kimliği doğrulanmamış, ağ tabanlı bir saldırgan, bu güvenlik açıklarından zincirleme şekilde yararlanarak cihazlarda uzaktan kod çalıştırabilir” dedi.
Juno işletim sisteminin hem SRX serisi güvenlik duvarlarında hem de EX serisi anahtarlarda çalışan tüm önceki, desteklenen sürümlerinin güvenlik açıklarına sahip olduğu görülüyor.
Şirket, kusurları gideren bir dizi Juno OS güncellemesi yayınladı.
Juniper’in güvenlik olayı müdahale ekibi Çarşamba günü yaptığı açıklamada, “bir müşteriye karşı başarılı bir istismarın farkında olmadığını, konseptin bir kanıtının yayınlandığını ve istismar girişimlerinin tespit edildiğini” söyledi.
Çok sayıda kuruluşun saldırı girişimlerine karşı risk altında olması muhtemeldir. Güvenlik firması Rapid7, “Juniper yazılımı geniş çapta kullanılıyor ve Shodan, internete bakan yaklaşık 10.000 cihaz gösteriyor, ancak bunların kaçının savunmasız olduğunu kesin olarak söyleyemeyiz” dedi.
Rapid7, “Sorun yönetim arayüzünde olsa da, bu cihazlar kurumsal ağlara ayrıcalıklı erişime sahip olma eğilimindedir” dedi. “Başarılı bir istismar muhtemelen saldırganlara kuruluşların iç ağlarına yönelme fırsatı sağlayacaktır.”
Güvenlik Açığı Ayrıntıları
Kusurlar arasında J-Web’deki PHP Harici değişken değişikliği güvenlik açıkları yer alıyor – EX aygıtlarında CVE-2023-36844 ve SRX aygıtlarında CVE-2023-36845 olarak adlandırılıyor.
SRX cihazlarında CVE-2023-36846 ve EX cihazlarında CVE-2023-36847 olarak tanımlanan diğer güvenlik açığı, kimlik doğrulamanın eksik olmasını içeriyor. Juniper, bunun “kimliği doğrulanmamış, ağ tabanlı bir saldırganın dosya sistemi bütünlüğü üzerinde sınırlı bir etkiye neden olmasına” olanak tanıdığını söyledi. “Kimlik doğrulama gerektirmeyen belirli bir istekle, bir saldırgan J-Web aracılığıyla rastgele dosyalar yükleyebilir, bu da dosya sisteminin belirli bir bölümünde bütünlük kaybına yol açarak diğer güvenlik açıklarına zincirleme yol açabilir.”
Singapur merkezli kırmızı ekip firması watchTowr, 25 Ağustos’ta güvenlik açıklarından yararlanmaya yönelik kavram kanıt kodu yayınladı ve geliştirmenin yalnızca 30 dakikalık bir çaba gerektirdiğini belirtti.
Rapid7, genel olarak güvenlik donanımı işletim sistemlerinin “rastgele bir ikili dosyanın yürütülmesini zorlaştıracak” şekilde tasarlandığını söyledi. Ancak watchTowr POC, “kök kullanıcı bağlamında isteğe bağlı PHP kodunun nasıl yürütüleceğini” ayrıntılarıyla anlatıyor ve bu tür saldırılara karşı savunma yapmak için tasarlanmış bir BSD hapishanesinden kaçmayı başarmış gibi görünüyor.
Kötü amaçlı etkinlikleri belirlemek ve izlemek için interneti tarayan Shadowserver Vakfı, söz konusu 25 Ağustos’tan bu yana “Juniper J-Web CVE-2023-36844 ve arkadaşları için birden fazla IP’den yararlanma girişimleri görülüyor.”
Çarşamba itibarıyla Shadowserver, J-Web arayüzüne sahip 8.200’den fazla IP adresi gördüğünü bildirdi; bunların 3.000’i Güney Kore’de, 857’si Amerika Birleşik Devletleri’nde ve 372’si Hong Kong’daydı. Bunlardan kaç tanesinin güvenlik açıklarını düzeltmek için yamalanmış olabileceği belli değildi.
‘Orta Düzey’ Kusurlar ‘Kritik’ Risk İçin Birleşiyor
Juno OS’deki J-Web güvenlik açıklarının her biri kendi başına orta şiddette olarak sınıflandırılırken, bir araya geldiklerinde özellikle uzaktan kod yürütmeyi kolaylaştırdıkları için kritik bir risk oluştururlar. watchTowr, uzaktan kod yürütmeye atıfta bulunarak, “Bu, neredeyse işe yaramaz iki hatayı tek başına kullanan ve bunları ‘dünyayı sona erdiren’ kimliği doğrulanmamış bir RCE için birleştiren ilginç bir hata zinciridir” dedi.
Bu nedenle siber güvenlik uzmanları, güvenlik ekiplerini, güvenlik açıklarını toplu olarak kritik bir risk olarak ele almaları ve bunları mümkün olan en kısa sürede düzeltmeleri konusunda uyarıyor.
Rapid7, “Zincirlendiğinde güvenlik açıkları, kimliği doğrulanmamış bir kullanıcının Juno OS dosya sistemine rastgele bir dosya yüklemesine ve ardından bunu yürütmesine izin veriyor” dedi.
Juniper, Tayvan’daki DevCore Staj Programında çalışan “LYS”ye, güvenlik açıklarını koordineli bir şekilde bildirdiği için teşekkür etti; bu, görünüşe göre herhangi bir bilgisayar korsanı kusurlardan yararlanmaya başlamadan önce satıcıya yamaları hazırlaması ve yayınlaması için zaman verdi.
Juniper, artık “mühendisliğin sonu” veya “kullanım ömrünün sonu” olarak kabul edilen cihazları çalıştıran cihazları kullanan kuruluşlar için herhangi bir yama bulunmayacağı konusunda uyarıyor. Güvenlik açıklarından yararlanılmasını engellemenin tek yolunun “J-Web’i devre dışı bırakmak veya erişimi yalnızca güvenilir ana bilgisayarlara sınırlamak” olduğu belirtildi; desteklenen cihazların kullanıcıları, güncellemeler yüklenene kadar geçici bir azaltma olarak da bunu yapabilirler.