Vulnerabilità del firewall Juniper: CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 e CVE-2023-36847

I firewall Juniper Networks sono diffusi nelle reti aziendali di tutto il mondo. Tuttavia, la praticità della loro interfaccia di gestione J-Web introduce anche rischi per la sicurezza se configurata in modo errato. Ciò è stato recentemente evidenziato dalla divulgazione da parte di Juniper di quattro vulnerabilità critiche di J-Web che possono concatenarsi per consentire l'esecuzione di codice in modalità remota.

I difetti riguardano sia gli switch della serie EX che i firewall della serie SRX che eseguono il sistema operativo Junos. Due permessi, bypass dell'autenticazione e caricamento arbitrario di file. Gli altri due consentono la modifica incontrollata delle variabili PHP. La loro concatenazione consente agli aggressori di installare ed eseguire in remoto script dannosi, ottenendo un punteggio CVSS di elevata gravità pari a 9,8.

CVE-2023-36844 - Modifica delle variabili esterne PHP in J-Web

Questa vulnerabilità consente agli aggressori remoti non autenticati di modificare variabili globali PHP esterne inviando richieste predefinite all'interfaccia J-Web. Manipolando variabili specifiche, gli aggressori potrebbero potenzialmente influenzare il modo in cui il codice PHP viene eseguito sul server.

Sebbene la sola modifica delle variabili PHP possa avere un impatto limitato, questa potrebbe essere sfruttata insieme ad altri difetti per ottenere l'esecuzione di codice in modalità remota. Ha un punteggio base CVSS v3 di 5,3 (gravità media).

CVE-2023-36845 - Fissazione della sessione in J-Web da richieste POST non supportate

Questa falla consente agli aggressori remoti non autenticati di eseguire attacchi di fissazione della sessione su J-Web inviando richieste POST predisposte. Gli aggressori possono forzare una sessione utente ad acquisire un ID di sessione predefinito noto all'aggressore.

Ciò potrebbe consentire all'aggressore di dirottare la sessione e operare come utente dopo il login. Ha un punteggio di base CVSS v3 di 5,3 (gravità media).

CVE-2023-36846 - Bypass dell'autenticazione della richiesta di modifica della password J-Web

Questa vulnerabilità consente agli utenti remoti non autenticati di bypassare l'autenticazione nella pagina di richiesta di modifica della password di J-Web tramite richieste preconfigurate.

Gli aggressori potrebbero sfruttarlo per modificare le password degli account e assumere il controllo degli account di amministrazione sull'interfaccia J-Web. Ha un punteggio base CVSS v3 di 5,9 (gravità media).

CVE-2023-36847 - Bypass dell'autenticazione a passo zero in J-Web

Questa falla consente agli aggressori remoti non autenticati di aggirare i meccanismi di autenticazione nella pagina di accesso di J-Web tramite richieste predisposte.

Ciò consente agli aggressori di accedere alle funzioni e ai dati di amministrazione di J-Web senza bisogno di credenziali. Ha un punteggio base CVSS v3 di 5,9 (gravità media).

Concatenarli insieme potrebbe consentire l'esecuzione di codice arbitrario. Sebbene singolarmente abbiano una gravità media, il loro impatto combinato richiede una patch urgente.

Indagine

Le ricerche sugli asset rivelano oltre 190.000 istanze di interfacce J-Web esposte sulla rete Internet pubblica. Ciò fornisce una vasta gamma di obiettivi per gli aggressori che sfruttano i nuovi exploit. Sebbene alcuni siano honeypot, i gruppi criminali cercano attivamente i dispositivi Juniper vulnerabili da compromettere.

In risposta, la prima direttiva operativa vincolante della CISA di quest'anno ha costretto le agenzie federali a mitigare urgentemente le esposizioni e le configurazioni errate. Le aziende dovrebbero inoltre agire tempestivamente applicando patch al sistema operativo Junos e limitando l'accesso esterno a J-Web. Le VPN, l'autenticazione a più fattori, i jump host e i controlli di monitoraggio possono proteggere ulteriormente i canali di gestione.

La situazione esemplifica i rischi intrinseci delle interfacce di gestione apertamente raggiungibili. I pannelli di amministrazione delle appliance forniscono un accesso backdoor invisibile alla rete, consentendo agli avversari di infiltrarsi e poi di addentrarsi lateralmente nella rete. Le configurazioni errate annullano facilmente i firewall e altre difese perimetrali.

Un solo dispositivo compromesso può mettere in pericolo l'intera organizzazione. Ridurre al minimo le superfici di attacco è quindi fondamentale. L'inventario delle risorse, l'eliminazione dell'esposizione non necessaria, l'applicazione regolare di patch, le attività di registrazione/monitoraggio e l'implementazione di tecnologie di inganno come gli honeypot aiutano a contrastare i tentativi di accesso non autorizzati.

Le architetture di difesa approfondita e zero trust che convalidano tutte le sessioni anziché affidarsi alla posizione offrono una maggiore resilienza. Proteggendo in modo proattivo le interfacce di gestione e ipotizzando l'inevitabile violazione, le organizzazioni riducono il rischio di minacce esterne e interne.

La storia di Juniper evidenzia l'evoluzione delle funzionalità del firewall, rafforzando al contempo la necessità di una vigilanza costante. L'IPX1200 ha consentito un throughput rivoluzionario superiore a 1 Gbps quando NetScreen lo ha lanciato nel 2002. Dopo l'acquisizione da parte di Juniper nel 2004, le serie ISG e SRX hanno continuato a spingere i limiti delle prestazioni dei firewall oltre i 100 Gbps con un'accelerazione hardware personalizzata.

Ma indipendentemente da quanto avanzate diventino le difese perimetrali, l'igiene di sicurezza di base rimane fondamentale. L'abbondanza di dispositivi vulnerabili rivela che molti hanno ancora difficoltà ad adottare le precauzioni di base. La mitigazione rapida, l'accesso con privilegi minimi, l'applicazione di patch e il rafforzamento devono essere tutte priorità. Con le minacce in crescita esponenziale, le organizzazioni non possono permettersi di trascurare i controlli fondamentali.