Juniper Networks Patches Over 30 Vulnerabilities in Junos OS
2023/10/13 SecurityWeek — 10月12日 (木) に、ネットワーク機器メーカーの Juniper Networks は、Junos OS/Junos OS Evolved に存在する、30件以上の脆弱性に対するパッチを発表した。これらの問題のうち、最も深刻なのは、不正確なデフォルト・パーミッションのバグであり、認証されていない攻撃者が、脆弱なデバイスへのローカル・アクセスを行い、ルート権限でバックドアを作成できるというものだ。この脆弱性 CVE-2023-44194 (CVSS:8.4) は、特定のシステム・ディレクトリに対して、不適切なパーミッションが関連付けられていることに起因する。
Junos OS/Junos OS Evolved に存在する、サービス拒否 (DoS) につながる可能性のある、深刻度の高い脆弱性6件にも、Juniper は対応している。このうちの5件は、認証なしでリモートから悪用される可能性がある。その他にも、Junos OS/Junos OS Evolved に影響を及ぼす2件の深刻度の高い脆弱性が存在し、それらが悪用されると、デバイスの機密性と完全性に影響が生じる。
今週のアップデートで解決された、Junos OS/Junos OS Evolved の問題は、DoS 状態や、アクセス制限のバイパスにつながるものであり、システムや接続ネットワークの整合性/可用性への影響や、認証情報の漏洩、設定変更の漏洩、DMA メモリの漏洩、MAC アドレスの不正な転送などを引き起こす、Medium レベルの脆弱性である。
さらに Juniper は、Junos OS/Junos OS Evolved で使用されるサードパーティ製ソフトウェアに存在する、NTP の脆弱性や暗号アルゴリズムの問題などの、一連の脆弱性に対するパッチもリリースしている。
Junos OS/Junos OS Evolved のバージョン 20.4/21.1/21.2/21.3/21.4/22.1/22.2/22.3/22.4/23.1/23.2/23.3 に対して、これらの脆弱性に対応するソフトウェア・アップデートがリリースされた。
Juniper によると、これらの脆弱性が、サイバー攻撃で悪用されたという事実はないという。ただし、Juniper のデバイスを含む、ネットワーク製品の脆弱性が悪用が多発しているため、可能な限り早急なパッチ適用が推奨される。
Juniper に大量の脆弱性です。お隣のキュレーション・チームに聞いてみたら、死ぬ思いの作業量だったと泣いていました。前回の Juniper の脆弱性は、2023/09/18 の「Juniper の脆弱性 CVE-2023-36845 に新たな PoC エクスプロイト:悪用が容易な RCE」であり、多くの方々に読んでいただいたので、関心の高いトピックだったのでしょう。よろしければ、Juniper で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.