Zistené zraniteľnosti vo webovom rozhraní zariadení s JunOS

Pred pár dňami boli zverejnené informácie o rôznych zraniteľnostiach identifikovaných v webové rozhranie „J-Web“, ktoré sa používa na sieťových zariadeniach Juniper vybavených operačným systémom júna.

Najnebezpečnejšia je zraniteľnosť CVE-2022 22241,, z ktorých najmä toto umožňuje vzdialene spustiť kód v systéme bez autentifikácie odoslaním špeciálne upravenej HTTP požiadavky.

Podstatou zraniteľnosti je, že cesta k súboru odovzdaná používateľom je spracovaná v skripte /jsdm/ajax/logging_browse.php bez filtrovania predpony s typom obsahu vo fáze pred kontrolou autentifikácie.

Útočník môže preniesť škodlivý súbor phar pod rúškom obrázka a spustite kód PHP umiestnený v súbore phar pomocou metódy útoku „Phar Deserialization“.

Problém je v tom, že pri kontrole nahraného súboru pomocou funkcie is_dir(). V PHP táto funkcia automaticky deserializuje metadáta súboru Phar (súbor PHP) pri spracovaní ciest začínajúcich na „phar://“. Podobný efekt možno pozorovať pri spracovaní ciest k súborom dodaných používateľom vo funkciách file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() a filesize().

Útok je komplikovaný tým, že okrem spustenia vykonávania súboru phar musí útočník nájsť spôsob, ako ho stiahnuť do zariadenia (pri prístupe na /jsdm/ajax/logging_browse.php môže zadať iba cestu spustiť existujúci súbor).

Z možných scenárov, kedy sa súbory dostanú do zariadenia, sa spomína nahranie súboru phar v podobe obrázka prostredníctvom služby prenosu obrázkov a nahradenie súboru vo vyrovnávacej pamäti webového obsahu.

Ďalšia zraniteľnosť zistený je CVE-2022 22242,, túto zraniteľnosť môžu byť zneužité neovereným vzdialeným útočníkom na ukradnutie relácií správa JunOS alebo sa používa v kombinácii s inými zraniteľnosťami, ktoré vyžadujú autentifikáciu. Túto zraniteľnosť možno použiť napríklad v spojení s chybou pri zápise do súboru po overení, ktorá je súčasťou správy.

CVE-2022 22242, umožňuje náhradu vonkajších parametrov nefiltrované na výstupe skriptu error.php, ktorý umožňuje skriptovanie medzi stránkami a po kliknutí na odkaz spustí ľubovoľný kód JavaScript v prehliadači používateľa. Zraniteľnosť by sa dala použiť na zachytenie parametrov relácie správcu, ak sa útočníkom podarí prinútiť správcu, aby otvoril špeciálne vytvorený odkaz.

Na druhej strane sa spomínajú aj zraniteľnosti CVE-2022-22243, ktoré môže zneužiť overený vzdialený útočník na manipuláciu s reláciami Správca JunOS alebo manipulácia so streamom XPATH, ktorý server používa na komunikáciu so svojimi analyzátormi XML, a tiež СVE-2022-22244, ktorý môže tiež zneužiť overený vzdialený útočník na manipuláciu s reláciami správcu JunOS. V oboch prípadoch umožňuje nahradenie výrazu XPATH prostredníctvom skriptov jsdm/ajax/wizards/setup/setup.php a /modules/monitor/interfaces/interface.php overenému používateľovi bez privilégií manipulovať s reláciami správcu.

Iné zraniteľnosti zverejnené sú:

• CVE-2022-22245: Ak sekvencia „..“ v spracovaných cestách v skripte Upload.php nie je správne vyčistená, overený používateľ môže nahrať svoj súbor PHP do adresára, ktorý umožňuje spustenie skriptu PHP (napr. zadaním cesty „ názov súboru=\..\...\...\...\www\dir\new\shell.php").
• CVE-2022-22246: Schopnosť spustiť ľubovoľný lokálny súbor PHP manipuláciou overeného používateľa pomocou skriptu jrest.php, kde sa na vytvorenie názvu súboru načítaného funkciou "require_once(". )" používajú externé parametre (napríklad „/jrest.php?payload =alol/lol/any\..\..\..\..\any\file“) Toto umožňuje útočníkovi zahrnúť akýkoľvek súbor PHP uložený na serveri. Ak sa táto zraniteľnosť zneužije spolu so zraniteľnosťou pri nahrávaní súborov, môže to viesť k vzdialenému spusteniu kódu.

Konečne Používateľom počítačov Juniper sa odporúča nainštalovať aktualizáciu firmvéru a ak to nie je možné, zabezpečte, aby bol prístup k webovému rozhraniu zablokovaný z externých sietí a obmedzený len na dôveryhodných hostiteľov.

Ak máte záujem dozvedieť sa o ňom viac, podrobnosti môžete konzultovať na nasledujúci odkaz.