NCSC waarschuwt voor actief geëxploiteerde Juniper pre-auth RCE-exploit chain
14 november 2023
Het NCSC waarschuwde vandaag via een advisory om Juniper devices netwerken zo snel mogelijk te beveiligen tegen vier kwetsbaarheden die nu worden gebruikt in RCE-aanvallen (Remote Code Execution) als onderdeel van een pre-auth-exploit chain.
De waarschuwing komt een week nadat Juniper zijn advisory had bijgewerkt om klanten te informeren dat de zwakke plekken in Junipers J-Web interface (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 en CVE-2023-36847) met succes in het wild zijn misbruikt.
Er is een serie kwetsbaarheden aangetroffen in Juniper JunOS die gecombineerd kunnen gebruikt worden voor een remote code execution. Deze kwetsbaarheden zijn in augustus 2023 gevonden, maar sinds deze week is actief misbruik gedetecteerd.
Eén van deze kwetsbaarheden heeft een CVSS score gekregen van 9.8, met kenmerk CVE-2023-36845. Door deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller op afstand code uitvoeren en kan er volledige controle over het kwetsbare apparaat worden verkregen. Deze kwetsbaarheid is verholpen in de laatste security updates.
Daarnaast zijn er meerdere kwetsbaarheden met een lagere CVSS score die misbruikt kunnen worden in combinatie met de bovenstaande kwetsbaarheid. Er wordt gewerkt aan een oplossing voor deze.
Achtergrond
De waarschuwingen komen nadat de ShadowServer threat monitoring service onthulde dat het al pogingen tot uitbuiting detecteerde op 25 augustus, een week nadat Juniper beveiligingsupdates had uitgebracht om de gebreken te verhelpen en zodra watchTowr Labs beveiligingsonderzoekers ook een proof-of-concept (PoC) exploit hadden uitgebracht.
Volgens gegevens van Shadowserver hebben meer dan 10.000 Juniper devices hun kwetsbare J-Web-interfaces online staan, de meeste uit Zuid-Korea (Shodan ziet meer dan 13.600 Intenet-blootgestelde Juniper-apparaten).
Advies:
Juniper adviseert de volgende mitigerende maatregelen:
- De volgende software releases zijn niet meer vatbaar voor de code execution kwetsbaarheid (CVE-2023-36845): 20.4R3-S9
21.2R3-S7
21.3R3-S5
21.4R3-S5
22.1R3-S4
22.2R3-S2
22.3R2-S2
22.3R3-S1
22.4R2-S1
22.4R3
23.2R1-S1
23.2R2
23.4R1
en alle daarop volgende releases. - Software updates voor de verdere kwetsbaarheden komen binnenkort. Als de genoemde updates zijn geïnstalleerd is de impact van de overige kwetsbaarheden sterk verminderd.
- Schakel de web beheerinterface uit op alle op JunOS gebaseerde apparaten of zorg dat deze niet vanaf het internet bereikbaar is.
- Controleer eventuele syslog-berichten op verdachte verkeersstromen.
- Overweeg om de betrokken apparaten opnieuw op te starten, aangezien de (mogelijk aangebrachte) webshell niet persistent is. • Tenable heeft een plugin uitgebracht om te controleren op de CVE-2023-36845 kwetsbaarheid met plugin ID 180190: https://www.tenable.com/plugins/nessus/180190.
Bronnen
NCSC:
https://advisories.ncsc.nl/advisory?id=NCSC-2023-0426
Juniper Security Advisory:
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution
Internet.nl nieuwsartikel:
https://www.security.nl/posting/818296/Juniper+meldt+actief+misbruik+van+kritiek+beveiligingslek+in+routers+en+firewalls