Egy új kutatás szerint közel 12 000 Internetre kitett Juniper tűzfal eszköz sebezhető egy nemrég nyilvánosságra hozott távoli kódfuttatási hibával (RCE) szemben.
A VulnCheck szerint, amely felfedezte a CVE-2023-36845 új exploitját, egy “nem hitelesített támadó kihasználhatja, hogy tetszőleges kódot hajtson végre a Juniper tűzfalakon anélkül, hogy fájlt hozna létre a rendszeren”.
A sebezhetőség a Junos OS J-Web komponensének közepes súlyosságú hibájára utal. A Juniper Networks a múlt hónapban javította a CVE-2023-36844, CVE-2023-36846 és CVE-2023-36847 hibákkal együtt egy nem tervezett frissítésben.
A watchTowr által kidolgozott későbbi PoC exploit a CVE-2023-36846 és CVE-2023-36845 sebezhetőségeket kombinálta, hogy feltöltsön egy rosszindulatú shellcode-ot tartalmazó PHP-fájlt, és kódfuttatást érjen el. A legújabb exploit viszont régebbi rendszereket érint, és egyetlen cURL parancs szükséges hozzá. Ez úgy valósul meg, hogy az stdin segítségével a PHPRC környezeti változót egy speciálisan kialakított HTTP kérésen keresztül a “/dev/fd/0” értékre állítja, így ez egy ideiglenes fájllá válik, és érzékeny információk szivárognak ki. A tetszőleges kódfuttatás ezután a PHP auto_prepend_file és allow_url_include opcióinak kihasználásával érhető el a data:// protokol wrapperrel együtt.
A Juniper azóta nyilvánosságra hozta, hogy nincs tudomása ügyfelei ellen irányuló sikeres exploitról, azonban arra figyelmeztetett, hogy észleltek kihasználási kísérleteket, így a felhasználóknak mindenképpen alkalmazniuk kell a szükséges javításokat a potenciális fenyegetések elkerülése érdekében.
