RCE 공격을 허용하는 주니퍼 방화벽 버그에 대한 익스플로잇 공개

Juniper SRX 방화벽의 취약성에 대한 개념 증명 익스플로잇 코드가 공개적으로 공개되었습니다. 이를 연결하면 인증되지 않은 공격자가 패치되지 않은 장치의 Juniper JunOS에서 원격 코드 실행을 얻을 수 있습니다.

주니퍼는 EX 스위치와 SRX 방화벽에서 중간 심각도 버그 4개를 공개하고 2주 전에 보안 패치를 출시했습니다.

관리자가 네트워크에서 Juniper 장치를 관리하고 구성하는 데 사용할 수 있는 PHP 기반 J-Web 인터페이스에서 보안 결함이 발견되었습니다.

"인증이 필요하지 않은 특정 요청을 통해 공격자는 J-Web을 통해 임의의 파일을 업로드할 수 있으며, 이로 인해 파일 시스템의 특정 부분에 대한 무결성이 손실되어 다른 취약점에 연결될 수 있습니다." 말했다.

"이러한 취약점을 연쇄적으로 악용함으로써 인증되지 않은 네트워크 기반 공격자가 장치에서 원격으로 코드를 실행할 수 있습니다."

watchTowr Labs의 보안 연구원들은 이후 SRX 방화벽 결함, 중요한 기능 취약성에 대한 인증 누락(CVE-2023-36846) 및 PHP 외부 변수 수정 버그(CVE- 2023-36845).

또한 취약성 분석 및 PoC 개발 프로세스를 설명하는 기술 심층 분석도 발표했습니다.

그들이 밝혀낸 바와 같이, CVE-2023-36846 사전 인증 업로드 결함은 무작위 이름을 사용하여 제한된 디렉터리에 PHP 파일을 무단으로 업로드할 수 있게 해줍니다. 두 번째 단계에서는 auto_prepend_file을 통해 첫 번째 파일을 로드하기 위해 PHP 구성 파일도 업로드됩니다.

CVE-2023-36845 버그를 활용하여 PHPRC와 같은 HTTP 요청 환경 변수를 조작하면 구성 파일을 로드하는 데 도움이 되고 첫 번째 단계에서 업로드된 PHP 파일의 실행이 트리거됩니다.

주니퍼는 실제 보안 결함을 적극적으로 악용하는 방법에 대한 정보를 제공하지 않았지만 watchTowr Labs는 공격자들이 곧 대규모 공격에서 패치가 적용되지 않은 주니퍼 장치를 표적으로 삼기 시작할 것으로 예상하고 있습니다.

관리자는 Juniper의 패치를 적용하거나 JunOS를 최신 릴리스로 업그레이드하거나 최소한 공급업체가 제안한 완화 조치를 가능한 한 빨리 적용해야 합니다.

연구원들은 "이용의 단순성과 JunOS 장치가 네트워크에서 차지하는 특권적인 위치를 고려할 때 대규모 악용이 발생하더라도 놀라지 않을 것"이라고 경고했습니다.

"영향을 받는 장치를 실행하는 사용자는 가능한 한 빨리 패치 버전으로 업데이트하고/또는 가능하다면 J-Web 인터페이스에 대한 액세스를 비활성화하는 것이 좋습니다."

지난 6월, CISA는 미국 연방 기관에 발견 후 2주 이내에 주니퍼의 방화벽 및 스위치 장치와 같이 인터넷에 노출되거나 잘못 구성된 네트워킹 장비를 보호하라는 명령을 내리는 올해 첫 번째 구속력 있는 운영 지침(BOD)을 발표했습니다.

해커들은 PoC 출시 후 중요한 주니퍼 RCE 버그 체인을 악용합니다.

인기 있는 Ghostscript 오픈 소스 PDF 라이브러리에서 중요한 RCE 발견

300,000개 이상의 Fortinet 방화벽이 중요한 FortiOS RCE 버그에 취약함

WinRAR 결함으로 인해 RAR 아카이브를 열 때 해커가 프로그램을 실행할 수 있음

중요한 사전 인증 스택 버퍼 오버플로의 영향을 받은 Ivanti Avalanche