Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor kwetsbaarheden in besturingssysteem JuneOS van Juniper. Deze zijn individueel niet 'kritiek', maar in combinatie met elkaar kunnen ze wel ernstige gevolgen hebben. Inmiddels zijn beveiligingsupdates beschikbaar voor het besturingssysteem dat onder meer wordt gebruikt in Juniper EX-switches en SRX-firewalls.
Het gaat volgens het NCSC om de kwetsbaarheden CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 en CVE-2023-36847. Er is een zogenoemde ‘proof of concept’ (poc) verschenen die aantoont dat een combinatie van deze kwetsbaarheden als een kritiek lek kan worden gezien.
Het NCSC heeft de inschatting van de kwetsbaarheden daarom opgeschaald naar ‘High/High’. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
Netwerktoegang nodig
De kwetsbaarheden maken het mogelijk om zonder inloggegevens willekeurige code uit te voeren met administrator-rechten op kwetsbare Juniper EX-switches of SRX-firewalls. Hiervoor heeft een aanvaller wel netwerktoegang nodig tot de beheerinterface (J-Web).
Het is gebruikelijk om beheerinterfaces zoals J-Web niet zomaar beschikbaar te stellen tot het (volledige) internet. Is dit wél het geval, dan neemt de kans op misbruik toe. De kwetsbaarheden kunnen eenvoudig misbruikt worden en onder andere het NCSC verwacht binnen afzienbare tijd aanvallen op Juniper EX-switches of SRX-firewalls waarbij de beheerinterface publiek benaderbaar is.
Advies
Juniper heeft beveiligingsupdates beschikbaar gesteld voor JunOS. Het NCSC adviseert om deze zo snel mogelijk te (laten) installeren. Daarnaast raadt het sterk aan om toegang tot beheerinterfaces zoveel mogelijk te beperken. ‘Zorg ervoor dat deze niet publiek benaderbaar zijn via het internet. Mocht toegang op afstand noodzakelijk zijn, laat dit dan alleen toe via een vpn-verbinding of beperk toegang tot specifieke ip-adressen’, zo luidt het advies.
Denial-of-Service (DoS)
Juniper heeft nog een kwetsbaarheid verholpen in JunOS en in dit geval JunOS Evolved (CVE-2023-4481). Een kwaadwillende kan de kwetsbaarheid misbruiken om een Denial-of-Service te veroorzaken. De kwetsbaarheid zit in de wijze waarop BGP-updates worden verwerkt. Wanneer een speciaal geprepareerde update wordt verstuurd, kan dit ervoor zorgen dat de verbinding wordt verbroken. Herhaaldelijk versturen veroorzaakt een structurele Denial-of-Service. Doordat BGP parameters die voor het ontvangende systeem niet van toepassing zijn ongemodificeerd doorgeeft, kan het voorkomen dat een systeem zelf niet getroffen wordt, maar systemen verderop in het netwerk wel.
