Juniper Networks Releases Urgent Junos OS Updates for High-Severity Flaws
2024/01/30 TheHackerNews — Juniper Networks は、SRX/EX シリーズに存在する深刻な脆弱性に対処するための、緊急アップデートをリリースした。今回のアップデートで修正された4つの脆弱性のうち、CVE-2024-21619/CVE-2024-21620 は、J-Web コンポーネントに存在するものであり、Junos OS の全てのバージョンに影響を与えるものだ。また、他の2つの脆弱性 CVE-2023-36846/CVE-2023-36851 は、すでに 2023年8月の時点で Juniper から公開されている。
- CVE-2024-21619 (CVSS:5.3) – 認証機能の欠落の脆弱性であり、機密設定情報が漏えいする可能性がある。
- CVE-2024-21620 (CVSS:8.8) – XSS (cross-site scripting) の脆弱性。特別に細工されたリクエストにより、カレント・ターゲットのパーミッションで任意のコマンドが実行される可能性がある。
これらの脆弱性 CVE-2024-21619/CVE-2024-21620 は、サイバー・セキュリティ企業 watchTowr Labs により発見/報告され、以下のバージョンで対処されている。
- CVE-2024-21619 – 20.4R3-S9/21.2R3-S7/21.3R3-S5/21.4R3-S6/22.1R3-S5/22.2R3-S3/22.3R3-S2/22.4R3/23.2R1-S2/23.2R2/23.4R1 およびそれ以降の全てのリリース
- CVE-2024-21620 – 20.4R3-S10/21.2R3-S8/21.4R3-S6/22.1R3-S5/22.2R3-S3/22.3R3-S2/22.4R3-S1/23.2R2/23.4R2 およびそれ以降の全てのリリース
Juniper Networks が、修正プログラムが配布されるまでの一時的な緩和策として推奨するのは、J-Web の無効化もしくは、信頼できるホストだけへのアクセス許可である。
なお、CVE-2023-36846/CVE-2023-36851 は、活発な悪用の証拠が発見されたことで、2023年11月に米国 CISA (Cybersecurity and Infrastructure Security Agency) により、Known Exploited Vulnerabilities (KEV) カタログに追加されている。
2024年1月の初めにも Juniper Networks は、同製品の脆弱性 CVE-2024-21591 (CVSS:9.8) を含む修正プログラムをリリースしている。この脆弱性は、攻撃者がサービス拒否 (DoS) またはリモート・コード実行を引き起こし、デバイスのルート権限を取得する可能性があるものだ。
Juniper の脆弱性 CVE-2024-21619 と CVE-2024-21620 ですが、お隣のキュレーション・チームに聞いてみたところ、どちらも1月27日付でレポートをアップしているとのことでした。この1月は、同社製品に関連する脆弱性が多くて、30件近くを報告しているとのことです。少し、落ち着いてくれると助かると、ホヤいておりました。よろしければ、Juniper で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.