Кілька днів тому була опублікована інформація про різні вразливості, виявлені в веб-інтерфейс «J-Web», який використовується на мережевих пристроях Juniper, оснащених операційною системою червень.
Найнебезпечніше – вразливість CVE-2022-22241, з яких це зокрема дозволяє віддалено виконувати код у системі без аутентифікації шляхом надсилання спеціально створеного HTTP-запиту.
Суть уразливості полягає в тому, що переданий користувачем шлях до файлу обробляється в скрипті /jsdm/ajax/logging_browse.php без фільтрації префікса з типом вмісту на етапі перед перевіркою автентифікації.
Зловмисник може передати шкідливий phar-файл під виглядом зображення та виконайте PHP-код, розміщений у файлі phar, використовуючи метод атаки «Phar Deserialization».
Проблема полягає в тому, що під час перевірки завантаженого файлу за допомогою функції is_dir(). У PHP ця функція автоматично десеріалізує метадані Phar-файлу (PHP-файл) під час обробки шляхів, що починаються з "phar://". Подібний ефект спостерігається при обробці наданих користувачем шляхів до файлів у функціях file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() і filesize().
Атака ускладнюється тим, що, окрім запуску файлу phar, зловмисник повинен знайти спосіб завантажити його на пристрій (під час доступу до /jsdm/ajax/logging_browse.php він може лише вказати шлях до щоб виконати існуючий файл).
Серед можливих сценаріїв потрапляння файлів на пристрій згадується завантаження файлу phar під виглядом зображення через службу передачі зображень і заміна файлу в кеші веб-вмісту.
Ще одна вразливість виявлено є CVE-2022-22242, ця вразливість може бути використаний неавтентифікованим віддаленим зловмисником для викрадення сеансів керування JunOS або використовується в поєднанні з іншими вразливими місцями, які потребують автентифікації. Наприклад, цю вразливість можна використовувати разом із помилкою запису файлу після автентифікації, яка є частиною звіту.
CVE-2022-22242 дозволяє замінювати зовнішні параметри без фільтрації на виході сценарію error.php, який дозволяє міжсайтовий сценарій і виконує довільний код JavaScript у браузері користувача, коли клацає посилання. Уразливість може бути використана для перехоплення параметрів сеансу адміністратора, якщо зловмисники зможуть змусити адміністратора відкрити спеціально створене посилання.
З іншого боку, також згадуються вразливі місця CVE-2022-22243, який може використовуватися автентифікованим віддаленим зловмисником для маніпулювання сеансами Адміністратор JunOS або втручатися в потік XPATH, який сервер використовує для спілкування зі своїми XML-парсерами, а також СVE-2022-22244, який також може бути використаний автентифікованим віддаленим зловмисником для втручання в сеанси адміністратора JunOS. В обох випадках заміна виразу XPATH за допомогою сценаріїв jsdm/ajax/wizards/setup/setup.php і /modules/monitor/interfaces/interface.php дозволяє автентифікованому користувачеві без привілеїв керувати сеансами адміністратора.
Інші вразливості розкрито:
- CVE-2022-22245: якщо послідовність «..» в оброблених шляхах у сценарії Upload.php не очищена належним чином, автентифікований користувач може завантажити свій PHP-файл у каталог, який дозволяє виконувати PHP-сценарій (наприклад, передаючи шлях " ім'я файлу=\..\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246: можливість виконання довільного локального файлу PHP шляхом маніпулювання автентифікованим користувачем за допомогою сценарію jrest.php, де зовнішні параметри використовуються для формування назви файлу, завантаженого функцією "require_once(". )" (наприклад, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file"). Це дозволяє зловмиснику включити будь-який файл PHP, що зберігається на сервері. Якщо ця вразливість використовується разом із уразливістю завантаження файлу, це може призвести до віддаленого виконання коду.
В кінці кінців Користувачам комп’ютерів Juniper рекомендується встановити оновлення мікропрограми і, якщо це неможливо, переконайтеся, що доступ до веб-інтерфейсу заблоковано із зовнішніх мереж і обмежено лише довіреними хостами.
Якщо вам цікаво дізнатися більше про це, ви можете переглянути подробиці за адресою за наступним посиланням.