Nghiên cứu mới đã phát hiện ra rằng gần 12.000 thiết bị tường lửa Juniper tiếp xúc với internet dễ bị lỗ hổng thực thi mã từ xa được tiết lộ gần đây.
VulnCheck, công ty đã phát hiện ra một lỗ hổng mới cho CVE-2023-36845, cho biết nó có thể bị khai thác bởi một "kẻ tấn công từ xa và không được xác thực để thực thi mã tùy ý trên tường lửa Juniper mà không cần tạo tệp trên hệ thống".
CVE-2023-36845 đề cập đến một lỗ hổng nghiêm trọng trung bình trong thành phần J-Web của Junos OS có thể được vũ khí hóa bởi một tác nhân đe dọa để kiểm soát một số biến môi trường quan trọng. Nó đã được Juniper Networks vá lỗi vào tháng trước cùng với CVE-2023-36844, CVE-2023-36846 và CVE-2023-36847 trong một bản cập nhật ngoài chu kỳ.
Một khai thác bằng chứng khái niệm (PoC) tiếp theo do watchTowr nghĩ ra đã kết hợp CVE-2023-36846 và CVE-2023-36845 để tải lên tệp PHP chứa shellcode độc hại và thực thi mã.
Mặt khác, khai thác mới nhất tác động đến các hệ thống cũ hơn và có thể được viết bằng một lệnh cURL duy nhất. Cụ thể, nó chỉ dựa vào CVE-2023-36845 để thực hiện cùng một mục tiêu.
Điều này, đến lượt nó, được thực hiện bằng cách sử dụng luồng đầu vào tiêu chuẩn (hay còn gọi là stdin) để đặt biến môi trường PHPRC thành "/ dev / fd / 0" thông qua một yêu cầu HTTP được chế tạo đặc biệt, biến "/ dev / fd / 0" thành một tệp tạm thời và rò rỉ thông tin nhạy cảm.
Thực thi mã tùy ý sau đó đạt được bằng cách tận dụng các tùy chọn auto_prepend_file và allow_url_include của PHP kết hợp với trình bao bọc giao thức data://.
"Tường lửa là mục tiêu thú vị đối với APT vì chúng giúp kết nối vào mạng được bảo vệ và có thể đóng vai trò là máy chủ hữu ích cho cơ sở hạ tầng C2", Jacob Baines nói. "Bất cứ ai có tường lửa Juniper chưa được vá nên kiểm tra nó để tìm dấu hiệu thỏa hiệp."
Juniper đã tiết lộ rằng họ không biết về việc khai thác thành công đối với khách hàng của mình, nhưng cảnh báo rằng họ đã phát hiện ra các nỗ lực khai thác trong tự nhiên, khiến người dùng bắt buộc phải áp dụng các bản sửa lỗi cần thiết để giảm thiểu các mối đe dọa tiềm ẩn.