Juniper Junos OS Evolved Vulnerabilities Enable Root-Level Compromise
2024/07/12 SecurityOnline — Juniper Networks が公開したのは、同社の Junos OS Evolved で発見された5つの脆弱性に対応するパッチだ。CVE-2024-39520 ~ 39524にまとめられた、これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステムの乗っ取りが可能となるため、重大なリスクがもたらされる。
これらの脆弱性の核心は、Junos OS Evolved Command Line Interface (CLI) における、特定のコマンド・オプションの取り扱い方にある。これらのコマンド内において、特定のパラメータを操作することで、事前に低レベルのアクセス権を得ている攻撃者は、最高レベルの “root” まで特権を昇格させる機会を得る。その結果として、任意のコード実行/設定の変更/機密データの漏えい/ネットワークの運用妨害などが可能になる。
一連の脆弱性に対しては、CVSS v4 スコア 8.5 が割り当てられており、深刻度 “High” に分類されている。
- CVE-2024-39520
- CVE-2024-39521
- CVE-2024-39522
- CVE-2024-39523
- CVE-2024-39524
すでに Juniper Networks は、これらの脆弱性に対応する修正版ソフトウェアをリリースしている。Junos OS Evolved 20.4R3-S7-EVO 未満のバージョン、および、21.2-EVO ~ 22.4-EVO の各種バージョンを、使用しているユーザーに強く推奨されるのは、パッチを適用したリリースへと、直ちにアップグレードすることである。
これらの脆弱性に対する回避策は存在しないが、管理者は厳格なアクセス制御を実施し、信頼できる担当者だけにシステムへのアクセスを制限することで、リスクを軽減できる。だたし、最も効果的な方法は、遅滞なくパッチを適用することである。
Juniper の CLI に脆弱性が発見されましたが、root への権限昇格の恐れもあるとのことなので、ご利用のチームは、ご注意ください。なお、直近の Juniper 関連のトピックは、2024/07/03 の「Juniper SRX の脆弱性 CVE-2024-21586 が FIX:DoS 攻撃の恐れ」となります。よろしければ、Juniper で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.