Fast 12.000 Juniper-Firewalls anfällig für eine kürzlich bekannt gewordene RCE-Schwachstelle
Aktuelle Untersuchungen haben ergeben, dass nahezu 12.000 internetfähige Firewall-Geräte von Juniper von einer kürzlich bekannt gewordenen Remote-Code-Execution-Schwachstelle (RCE) betroffen sind. Diese Sicherheitslücke stellt eine erhebliche Bedrohung dar, da sie Angreifern die Möglichkeit bietet, aus der Ferne schädlichen Code auf den betroffenen Geräten auszuführen.
VulnCheck hat eine neue Schwachstelle für CVE-2023-36845 entdeckt. Das Unternehmen berichtet, dass diese von einem „nicht authentifizierten und entfernten Angreifer ausgenutzt werden kann, um beliebigen Code auf Juniper-Firewalls auszuführen, ohne eine Datei auf dem System zu erstellen“.
CVE-2023-36845 bezieht sich auf eine mittelschwere Schwachstelle in der J-Web-Komponente von Junos OS, die von einem Angreifer ausgenutzt werden könnte, um bestimmte, wichtige Umgebungsvariablen zu kontrollieren. Sie wurde von Juniper Networks letzten Monat zusammen mit CVE-2023-36844, CVE-2023-36846 und CVE-2023-36847 in einem Out-of-Cycle-Update gepatcht.
Ein späterer Proof-of-Concept (PoC)-Exploit, der von watchTowr entwickelt wurde, kombinierte CVE-2023-36846 und CVE-2023-36845, um eine PHP-Datei mit bösartigem Shellcode hochzuladen und Codeausführung zu erreichen.
Der neueste Exploit hingegen wirkt sich auf ältere Systeme aus und kann mit einem einzigen cURL-Befehl geschrieben werden. Er stützt sich lediglich auf CVE-2023-36845, um das gleiche Ziel zu erreichen.
Dies wiederum wird erreicht, indem der Standardeingabestrom (auch bekannt als stdin) verwendet wird, um die PHPRC-Umgebungsvariable über eine speziell gestaltete HTTP-Anfrage auf „/dev/fd/0“ zu setzen, wodurch „/dev/fd/0“ effektiv in eine Behelfsdatei umgewandelt wird, um sensible Informationen zu stehlen.
Durch Ausnutzung der PHP-Optionen auto_prepend_file und allow_url_include in Verbindung mit dem data://-Protokoll-Wrapper wird dann die Ausführung von beliebigem Code ermöglicht.
„Firewalls sind interessante Ziele für APTs, da sie eine Brücke in das geschützte Netzwerk bilden und als nützliche Hosts für die C2-Infrastruktur dienen können“, so Jacob Baines. „Jeder, der eine ungepatchte Juniper-Firewall besitzt, sollte sie auf Anzeichen einer Kompromittierung untersuchen.“
Juniper hat in der Zwischenzeit mitgeteilt, dass dem Unternehmen kein erfolgreicher Angriff auf seine Kunden bekannt ist – warnte jedoch, dass ihm im freien Feld Angriffsversuche aufgefallen sind. Dies macht es dringend erforderlich, dass Benutzer die notwendigen Fixes anwenden, um potenzielle Bedrohungen zu entschärfen.