Af Eskil Sørensen, 01/07/24
Juniper Networks har udgivet en ekstraordinær patch, der håndterer en autentificeringsfejl som omgår autentificeringsmekanismen i produkterne Session Smart Router (SSR), Session Smart Conductor og WAN Assurance Router.
Sårbarheden har id’et CVE-2024-2973, og med en CVSS-score på 10,0 ud af 10 er det kun rimeligt, at der udsendes en nødpatch.
Kun enheder, der kører i redundante konfigurationer med høj tilgængelighed, er berørt af denne sårbarhed. Udnyttelse kan potentielt føre til, at en ondsindet aktør, med netværksadgang, kan omgå den normale godkendelse mekanisme og tage fuld kontrol over en enhed.
De berørte produkter er følgende versioner inden for session Smart Router & Conductor: Alle versioner før 5.6.15, fra 6.0 indtil 6.1.9-lts og fra 6.2 indtil 6.2.5-sts
Inden for WAN Assurance Router er de berørte versioner 6.0 før 6.1.9-lts og 6.2 før 6.2.5-sts.
Der er endnu ikke rapporter om aktiv udnyttelse, men det anbefales at opdatere i henhold til producentens anvisninger.
Bleeping Computer, der omtaler sagen, skriver, at Juniper-produkter normalt er attraktive mål for angribere, i kraft af at de ofte indgår i kritiske miljøer. Det ses også af, at CISA fem gange har sat Juniper-produkter på sin liste over kendte udnyttede sårbarheder.