Несколько дней назад была опубликована информация о различных уязвимостях, выявленных в веб-интерфейс «J-Web», который используется на сетевых устройствах Juniper, оснащенных операционной системой ЮнОС.
Самое опасное — это уязвимость CVE-2022-22241, из которых это, в частности позволяет удаленно выполнять код в системе без аутентификации путем отправки специально созданного HTTP-запроса.
Суть уязвимости заключается в том, что переданный пользователем путь к файлу обрабатывается в скрипте /jsdm/ajax/logging_browse.php без фильтрации префикса с типом контента на этапе перед проверкой аутентификации.
Злоумышленник может передать вредоносный файл phar под видом изображения и выполнить PHP-код, размещенный в phar-файле, методом атаки «Phar Deserialization».
Проблема в том, что при проверке загруженного файла функцией is_dir() В PHP эта функция автоматически десериализует метаданные файла Phar (файл PHP) при обработке путей, начинающихся с «phar://». Аналогичный эффект наблюдается при обработке введенных пользователем путей к файлам в функциях file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() и png.
Атака осложняется тем, что помимо запуска выполнения phar-файла злоумышленник должен найти способ его загрузки на устройство (при обращении к /jsdm/ajax/logging_browse.php он может указать только путь для выполнения существующего файла).
Из возможных сценариев попадания файлов на устройство упоминается загрузка phar-файла под видом изображения через службу передачи изображений и замена файла в кеше веб-контента.
Еще одна уязвимость обнаружен CVE-2022-22242, эта уязвимость может быть использован неавторизованным удаленным злоумышленником для кражи сеансов управление JunOS или используется в сочетании с другими уязвимостями, требующими аутентификации. Например, эту уязвимость можно использовать в сочетании с ошибкой записи файла после аутентификации, которая является частью отчета.
CVE-2022-22242 позволяет подставлять внешние параметры не фильтруется на выходе сценария error.php, который позволяет выполнять межсайтовые сценарии и выполнять произвольный код JavaScript в браузере пользователя при нажатии на ссылку. Уязвимость может использоваться для перехвата параметров сеанса администратора, если злоумышленники смогут заставить администратора открыть специально созданную ссылку.
С другой стороны, также упоминаются уязвимости. CVE-2022-22243, которую может использовать удаленный злоумышленник, прошедший проверку подлинности, для манипулирования сеансами. Администрирование JunOS или подделка потока XPATH, который сервер использует для связи со своими парсерами XML, а также уязвимость VE-2022-22244, которая также может быть использована аутентифицированным удаленным злоумышленником для вмешательства в сеансы администрирования JunOS. В обоих случаях замена выражения XPATH через сценарии jsdm/ajax/wizards/setup/setup.php и /modules/monitor/interfaces/interface.php позволяет аутентифицированному пользователю без привилегий манипулировать сеансами администратора.
Другие уязвимости раскрыты:
- CVE-2022-22245: Если последовательность «..» в обработанных путях в сценарии Upload.php не очищена должным образом, аутентифицированный пользователь может загрузить свой файл PHP в каталог, который позволяет выполнение сценария PHP (например, передав путь « имя_файла=\..\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246: Возможность запуска произвольного локального PHP-файла путем манипулирования авторизованным пользователем с помощью скрипта jrest.php, где внешние параметры используются для формирования имени файла, загружаемого функцией «require_once(«). (например, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file"). Это позволяет злоумышленнику включить любой файл PHP, хранящийся на сервере. Если использовать эту уязвимость вместе с уязвимостью загрузки файлов, это может привести к удаленному выполнению кода.
В конце концов Пользователям компьютеров Juniper рекомендуется установить обновление прошивки и, если это невозможно, убедитесь, что доступ к веб-интерфейсу заблокирован из внешних сетей и ограничен только доверенными узлами.
Если вы хотите узнать больше об этом, вы можете ознакомиться с подробностями на по следующей ссылке.