CISA เตือนช่องโหว่ RCE บน Juniper SRX และ EX Series กำลังถูกโจมตี

CISA เตือนช่องโหว่ RCE บน Juniper SRX และ EX Series กำลังถูกโจมตี

หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐ หรือ CISA ได้ออกประกาศเตือนหน่วยงานภายใต้การกำกับดูแลให้เร่งทำการแพตช์ช่องโหว่ preAuth Remote Code Execution (RCE) ซึ่งเกิดขึ้นใน J-Web interface บน Junos OS ซึ่งเป็นระบบปฏิบัติการของ Juniper Firewall SRX Series และ Juniper Switch EX Series โดยเริ่มได้รับรายงานการโจมตีด้วยช่องโหว่นี้อย่างต่อเนื่องในช่วงที่ผ่านมา ช่องโหว่ดังกล่าวสามารถถูกโจมตีแบบ Chain ด้วยช่องโหว่จำนวนสี่ตัว ได้แก่ CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, และ CVE-2023-36847 โดย ShadowServer ได้รายงานการตรวจพบการโจมตีที่เกิดขึ้นสอดคล้องกันตั้งแต่วันที่ 25 สิงหาคม ภายหลังจากที่ Juniper ได้ออกแพตช์เพียงหนึ่งอาทิตย์ จากการสำรวจพบว่ามีอุปกรณ์ Juniper ที่เชื่อมต่ออินเทอร์เน็ตและมีช่องโหว่อยู่นับหมื่นตัวทั่วโลก ซึ่งในประเทศไทยมีอยู่ประมาณ 45 ตัว

CISA ได้เพิ่มช่องโหว่ทั้งสี่ตัวลงใน Known Exploited Vulnerabilities Catalog และเตือนให้หน่วยงานในสหรัฐที่ทำการอัปเดตแพตช์ภายในวันที่ 17 พฤศจิกายน ผู้ดูแลระบบควรทำการตรวจสอบและอัปเดตอุปกรณ์เพื่ออุดช่องโหว่ทันที สำหรับรายการเวอร์ชันของ Junos OS บน SRX Series และ EX Series ที่มีช่องโหว่มีดังนี้

• ทุกเวอร์ชันก่อนหน้า 20.4R3-S9
• เวอร์ชันก่อนหน้า 21.1R1 หรือใหม่กว่า
• เวอร์ชันก่อนหน้า 21.2R3-S7
• เวอร์ชันก่อนหน้า 21.3R3-S5
• เวอร์ชันก่อนหน้า 21.4R3-S5
• เวอร์ชันก่อนหน้า 22.1R3-S4
• เวอร์ชันก่อนหน้า 22.2R3-S2
• เวอร์ชันก่อนหน้า 22.3R2-S2, 22.3R3-S1
• เวอร์ชันก่อนหน้า 22.4R2-S1, 22.4R3
• เวอร์ชันก่อนหน้า 23.2R1-S1, 23.2R2

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-juniper-pre-auth-rce-exploit-chain