Компания Juniper Networks выпустила внеполосные обновления системы безопасности для устранения критической уязвимости в системе безопасности, которая может привести к обходу аутентификации в некоторых её маршрутизаторах.
Уязвимость, отслеживаемая как CVE-2024-2973, имеет оценку CVSS 10.0, что указывает на максимальную серьёзность.
«Обход аутентификации с использованием альтернативного пути или уязвимости канала в маршрутизаторе Juniper Networks Session Smart Router или Conductor, работающем с резервным одноранговым узлом, позволяет сетевому злоумышленнику обойти аутентификацию и получить полный контроль над устройством», — говорится в сообщении компании, опубликованном на прошлой неделе.
Согласно Juniper Networks, недостаток затрагивает только те маршрутизаторы или проводники, которые работают в конфигурациях с резервированием высокой доступности. Список затронутых устройств приведён ниже:
— Session Smart Router (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
— Session Smart Conductor (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
— Маршрутизатор WAN Assurance (версии 6.0 до 6.1.9-lts и версии 6.2 до 6.2.5-sts).
Производитель сетевого оборудования, который был выкуплен компанией Hewlett Packard Enterprise (HPE) примерно за $14 млрд ранее в этом году, заявил, что не нашёл доказательств активного использования уязвимости в дикой природе.
В нём также говорится, что уязвимость была обнаружена во время внутреннего тестирования продукта и что обходных путей, решающих проблему, не существует.
«Эта уязвимость была автоматически исправлена на затронутых устройствах для маршрутизаторов MIST managed WAN Assurance, подключённых к облаку Mist», — отмечается далее. «Важно отметить, что исправление применяется автоматически на маршрутизаторах, управляемых Проводником, или на маршрутизаторах глобальной сети, чтобы гарантировать, что оно не влияет на функции маршрутизатора на уровне передачи данных».
В январе 2024 года компания также выпустила исправления критической уязвимости в тех же продуктах (CVE-2024-21591, оценка CVSS: 9,8), которая может позволить злоумышленнику вызвать отказ в обслуживании (DoS) или удалённое выполнение кода и получить права root на устройствах.
В связи с многочисленными недостатками в системе безопасности, затрагивающими брандмауэры SRX компании и коммутаторы EX, использованными злоумышленниками в прошлом году, важно, чтобы пользователи применяли исправления для защиты от потенциальных угроз.
Уязвимость, отслеживаемая как CVE-2024-2973, имеет оценку CVSS 10.0, что указывает на максимальную серьёзность.
«Обход аутентификации с использованием альтернативного пути или уязвимости канала в маршрутизаторе Juniper Networks Session Smart Router или Conductor, работающем с резервным одноранговым узлом, позволяет сетевому злоумышленнику обойти аутентификацию и получить полный контроль над устройством», — говорится в сообщении компании, опубликованном на прошлой неделе.
Согласно Juniper Networks, недостаток затрагивает только те маршрутизаторы или проводники, которые работают в конфигурациях с резервированием высокой доступности. Список затронутых устройств приведён ниже:
— Session Smart Router (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
— Session Smart Conductor (все версии до 5.6.15, от 6.0 до 6.1.9-lts и от 6.2 до 6.2.5-sts);
— Маршрутизатор WAN Assurance (версии 6.0 до 6.1.9-lts и версии 6.2 до 6.2.5-sts).
Производитель сетевого оборудования, который был выкуплен компанией Hewlett Packard Enterprise (HPE) примерно за $14 млрд ранее в этом году, заявил, что не нашёл доказательств активного использования уязвимости в дикой природе.
В нём также говорится, что уязвимость была обнаружена во время внутреннего тестирования продукта и что обходных путей, решающих проблему, не существует.
«Эта уязвимость была автоматически исправлена на затронутых устройствах для маршрутизаторов MIST managed WAN Assurance, подключённых к облаку Mist», — отмечается далее. «Важно отметить, что исправление применяется автоматически на маршрутизаторах, управляемых Проводником, или на маршрутизаторах глобальной сети, чтобы гарантировать, что оно не влияет на функции маршрутизатора на уровне передачи данных».
В январе 2024 года компания также выпустила исправления критической уязвимости в тех же продуктах (CVE-2024-21591, оценка CVSS: 9,8), которая может позволить злоумышленнику вызвать отказ в обслуживании (DoS) или удалённое выполнение кода и получить права root на устройствах.
В связи с многочисленными недостатками в системе безопасности, затрагивающими брандмауэры SRX компании и коммутаторы EX, использованными злоумышленниками в прошлом году, важно, чтобы пользователи применяли исправления для защиты от потенциальных угроз.