Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) powierzyła agencjom i organizacjom federalnym USA zadanie załatania pięciu luk wykorzystywanych przez atakujących do złamania zabezpieczeń urządzeń sieciowych Juniper. Mają to zrobić do piątku 17 listopada (czyli za dwa dni)!
Jest to niezwykle krótki termin, ale – biorąc pod uwagę, że exploit PoC był publiczny od miesięcy – jest to uzasadnione. Większość z tych błędów sama w sobie nie jest szczególnie groźna, ale osoby atakujące mogą – i tak się dzieje – łączyć je w celu zdalnego wykonania kodu na podatnych na zagrożenia urządzeniach podłączonych do Internetu.
Wykorzystane luki
Juniper Networks naprawił cztery błędy (o numerach od CVE-2023-36844 do CVE-2023-36847) wpływające na interfejs GUI J-Web urządzeń z systemem operacyjnym Junos pod koniec sierpnia 2023 r. i wezwał klientów do aktualizacji zapór sieciowych SRX i przełączników EX w celu eliminacji luk w zabezpieczeniach.
Wkrótce potem badacze z WatchTowr Labs opublikowali powiązane szczegóły techniczne oraz exploit PoC łączący wady. Osoby atakujące bardzo szybko podjęły próby wykorzystania luk.
Pod koniec września zewnętrzni badacze opublikowali nowy wariant (CVE-2023-36851) luki w zabezpieczeniach umożliwiającej przesyłanie SRX (CVE-2023-36847), a także exploit wykorzystujący lukę umożliwiającą wykonanie kodu (CVE-2023-36845), która działa bez wcześniejszego przesłania pliku, co skłoniło Juniper do podkreślenia znaczenia naprawy „możliwości wykonywania kodu”.
W konsekwencji w poniedziałek CISA dodała aż pięć podatności do katalogu znanych luk w zabezpieczeniach (KEV) w oparciu o dowody aktywnego wykorzystania:
1. CVE-2023-36844 (wynik CVSS: 5,3) – luka w zabezpieczeniach Juniper Junos OS EX Series PHP związana z modyfikacją zewnętrznych zmiennych,
2. CVE-2023-36845 (wynik CVSS: 5,3) – luka w zabezpieczeniach PHP Juniper Junos OS EX i SRX polegająca na modyfikacji zewnętrznych zmiennych,
3. CVE-2023-36846 (wynik CVSS: 5,3) – brak uwierzytelnienia Juniper Junos OS SRX Series z powodu krytycznej luki w zabezpieczeniach funkcji,
4. CVE-2023-36847 (wynik CVSS: 5,3) – brak uwierzytelnienia w Juniper Junos OS EX Series ze względu na krytyczną lukę w zabezpieczeniach funkcji,
5. CVE-2023-36851 (wynik CVSS: 5,3) – brak uwierzytelnienia Juniper Junos OS SRX Series z powodu krytycznej luki w zabezpieczeniach funkcji.
„Jeśli temu zapobiegniemy, wpływ pozostałych problemów zostanie znacznie zmniejszony” – dodała firma.
W zeszłym tygodniu pilność wzrosła, ponieważ w środę firma Juniper potwierdziła, że jej zespół ds. reagowania na incydenty „jest świadomy udanego wykorzystania tych luk”.
Przypominamy, że katalog KEV jest opracowywany na potrzeby amerykańskich agencji federalnych, ale organizacje innych typów również powinny go używać, do ustalania priorytetów luk w zabezpieczeniach, które należy załatać. Warto się do nich odnosić również w Polsce, i dlatego zalecamy stałe przeglądanie tych zaleceń.
Eksploity na wolności i ataki
Szczegóły dotyczące charakteru eksploatacji są obecnie nieznane, a firma nie podzieliła się szczegółami tych ataków, ale po raz kolejny namawiała klientów do aktualizacji swoich urządzeń, wyłączenia interfejsu GUI J-Web lub ograniczenia dostępu do nich jedynie do zaufanych hostów.
W osobnym komunikacie CISA ostrzegła, że gang zajmujący się ransomware Royal może zmienić nazwę na BlackSuit ze względu na fakt, że ten ostatni ma „wiele zidentyfikowanych cech kodowania podobnych do Royal”.
Rozwój sytuacji nastąpił po ujawnieniu przez Cyfirmę, że na forach Darknet i kanałach Telegramu są w sprzedaży exploity wykorzystujące krytyczne luki w zabezpieczeniach.
„Te luki obejmują podnoszenie uprawnień, obejście uwierzytelniania, wstrzykiwanie kodu SQL i zdalne wykonanie kodu, co stwarza poważne ryzyko bezpieczeństwa” – stwierdziła firma zajmująca się cyberbezpieczeństwem, dodając: „Grupy zajmujące się oprogramowaniem ransomware aktywnie szukają luk typu zero-day na podziemnych forach, aby zagrozić dużej liczba ofiar”.
Jest to także następstwem doniesień firmy Huntress, że ugrupowania zagrażające obierają za cel wiele organizacji związanych z opieką zdrowotną, nadużywając do uzyskania początkowego dostępu powszechnie stosowanego narzędzia zdalnego dostępu ScreenConnect używanego przez Transaction Data Systems, dostawcę oprogramowania do zarządzania aptekami.
„Sprawca zagrożenia podjął kilka kroków, w tym zainstalował dodatkowe narzędzia zdalnego dostępu, takie jak instancje ScreenConnect lub AnyDesk, aby zapewnić stały dostęp do środowisk” – zauważył Huntress.
Oczywiście wszystkim firmom, które używają urządzeń Juniper, zalecamy zastosowanie się do tych zaleceń i wdrożenie odpowiednich poprawek.