Администраторов сетей, использующих маршрутизаторы серии Juniper PTX, предупреждают о необходимости немедленного установки исправлений, поскольку недавно обнаруженная критическая уязвимость может позволить неаутентифицированному злоумышленнику выполнять код с привилегиями root.
Эта уязвимость «особенно опасна, поскольку эти устройства часто располагаются в центре сети, а не на периферии», — отметил Пиюш Шарма, генеральный директор Tuskira. «Если злоумышленник получит контроль над PTX, последствия будут более серьезными, чем просто компрометация одного устройства, поскольку оно может одновременно стать точкой контроля трафика и точкой управления. Это открывает двери для скрытого перехвата потоков данных, перенаправления трафика контроллера или легкого перехода в смежные сети».
Проблема затрагивает маршрутизаторы PTX с версиями операционной системы Junos OS Evolved ранее 25.4R1-S1-EVO и 25.4R2-EVO. Стандартная Junos OS не затронута.
В своем уведомлении Juniper сообщила, что ей не известно о каком-либо вредоносном использовании этой уязвимости. Уязвимость была обнаружена в ходе внутреннего тестирования безопасности продукта или исследований.
Линейка PTX представляет собой серию модульных высокопроизводительных магистральных маршрутизаторов, работающих на новейшем поколении специализированных ASIC семейства Express от HPE Juniper Networks и оптимизированных для миграции на 400G и 800G. Они предлагают нативную поддержку 400G и 800G inline MACsec, глубокое буферирование и гибкую фильтрацию. Компания заявляет, что они созданы для долговечной работы в требовательных сценариях использования и развертывания в WAN (глобальная сеть) и центрах обработки данных, включая ядро, пиринг, межсоединение ЦОД, периметр ЦОД, городскую агрегацию и сетевое взаимодействие в AI-центрах обработки данных.
В своем уведомлении Juniper заявляет, что уязвимость, связанная с некорректным назначением разрешений для критического ресурса (Incorrect Permission Assignment for Critical Resource) в рамках фреймворка обнаружения аномалий On-Box операционной системы, позволяет неаутентифицированному сетевому злоумышленнику выполнять код от имени root. Фреймворк обнаружения включен по умолчанию.
«Фреймворк обнаружения аномалий On-Box должен быть доступен только другим внутренним процессам через внутреннюю инстанцию маршрутизации, но не через внешний открытый порт», — добавляется в оповещении. «Имея возможность получить доступ к сервису и манипулировать им для выполнения кода от имени root, удаленный злоумышленник может получить полный контроль над устройством».
Для устранения проблемы администраторам следует убедиться, что установлена версия 25.4R1-S1-EVO операционной системы Junos OS Evolved. Следует также отметить, что версии 25.4R2-EVO и 26.2R1-EVO находятся в разработке.
Если обновление невозможно установить немедленно, администраторам следует использовать списки контроля доступа (ACL) или фильтры брандмауэра для ограничения доступа только доверенным сетям и хостам, чтобы снизить риск эксплуатации этой проблемы. Необходимо убедиться, что такие фильтры разрешают только явно требуемые соединения и блокируют все остальные.
Другой вариант — отключить сервис, введя команду request pfe anomalies disable в командной строке операционной системы.
Шарма отметил, что уязвимости Juniper привлекают большое внимание хакеров на протяжении многих лет из-за премиального положения, которое маршрутизаторы предоставляют в случае установления долгосрочного присутствия. «Как сетевая операционная система, Junos находится на пересечении основных точек управления, таких как идентификация, политика и трафик, что означает, что один эксплойт может быстро масштабироваться по ценным сетям», — сказал он. «Кроме того, эти точки присутствия дают злоумышленникам более длительное окно для поиска и эксплуатации уязвимых устройств, поскольку установка исправлений на основное сетевое оборудование является трудоемкой из-за длительных простоев».
Чтобы предотвратить эксплуатацию таких уязвимостей, как текущий дефект, организациям необходима платформа защиты, способная непрерывно отслеживать аномалии в сетях и оповещать группы безопасности при обнаружении вредоносного поведения, добавил он.
Раскрытие информации об уязвимости происходит на фоне подготовки материнской компании Juniper, HPE, к представлению новых семейств маршрутизаторов PTX12000 и PTX10002 на предстоящем Mobile World Congress. HPE приобрела Juniper в прошлом году.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
