CVE-2024-2973 (CVSS 10): Juniper Session Smart Router Authentication Bypass Vulnerability
2024/06/27 SecurityOnline — Juniper Networks は、最新のサイバーセキュリティ・アドバイザリにおいて、脆弱性 CVE-2024-2973 への対応を公表した。この脆弱性は、Session Smart Router (SSR)/Session Smart Router/WAN Assurance Router 製品群に影響を及ぼし、ネットワーク・セキュリティに深刻な脅威をもたらす。
脆弱性 CVE-2024-2973 は、冗長化されたルーター配置における設計上の見落としに起因する欠陥であり、代替のパスまたはチャネルを介した認証バイパスとして分類されている。この脆弱性の悪用に成功した攻撃者は、認証を回避しながら、機密性の高いネットワーク設定へのアクセス権を取得し、さらなる悪意の操作を可能にする。
脆弱性 CVE-2024-2973 の影響を受けやすい Juniper Networks 製品は、以下の通りである:
- Session Smart Router: 5.6.15 以下の全バージョンおよび、6.0 以下の 6.1.9-lts、6.2 以下の 6.2.5-sts。
- Session Smart Conductor: 5.6.15 以下の全バージョンおよび、6.0 以下の 6.1.9-lts、6.2 以下の 6.2.5-sts。
- WAN Assurance Router: 6.1.9-ts 以下の 6.0 バージョンおよび、6.2.5-sts 以下の 6.2。
Juniper Networks が、すべてのユーザーに対して強く推奨するのは、提供されているパッチを直ちに適用することである。すでに Juniper は、SSR-5.6.15/SSR-6.1.9-lts/SSR-6.2.5-sts などの更新済みのソフトウェアをリリースして、この脆弱性に対処している。
なお、Conductor が管理するデプロイメントにおいては、Conductor ノードをアップグレードすることで、接続されているルーターに対して修正が自動的に適用される。また、Mist Cloud にリンクされている WAN Assurance Router においては、すでに自動パッチが適用されている。
現在のところ、回避策は存在しない。したがって、パッチが適用されたバージョンへと速やかにアップグレードして、悪用リスクを軽減することが重要である。パッチの適用プロセスにおいては、本番トラフィックへの影響が最小限に抑えられる。Web ベースの管理と API において、短時間のダウンタイムを要するだけの、最小限の中断に抑えられるよう設計されている。
Juniper Session Smart Router に、認証バイパスの脆弱性 CVE-2024-2973 が発生です。すでにパッチはリリースされていますが、回避策は存在しないとのことです。ご利用のチームは、ご注意ください。よろしければ、Juniper で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.