พบช่องโหว่บน Juniper Firewall และการโจมตีจริง แนะนำผู้ใช้เร่งอัปเดต

Juniper ได้ออกแพตช์ช่องโหว่บน SRX Firewall และ EX Switch มาเพียงสองสัปดาห์ ล่าสุดก็มีเผยโค้ดสาธิตจากผู้เชี่ยวชาญ ต่อมาไม่นานก็พบการโจมตีช่องโหว่ดังกล่าวกำลังเริ่มขึ้น ด้วยเหตุนี้เองหากแอดมินท่านใดใช้งานอยู่ก็ขอให้สำรวจตัวเองเพื่อเร่งอัปเดตแก้ไข

ช่องโหว่ 4 รายการที่ทาง Juniper ได้ออกมาเปิดเผยแบ่งเป็น 2 กลุ่ม คือ

1.) ช่องโหว่ที่ช่วยให้เกิดการอัปโหลดไฟล์ผ่าน J-Web ซึ่งฟังก์ชันงานเหล่านี้สามารถถูกเล่นงานได้โดยไม่ต้องมีการพิสูจน์ตัวตน มีช่องโหว่ 2 รายการคือ CVE-2023-36846 และ CVE-2023-36847

2.) ช่องโหว่ที่แฮ็กเกอร์สามารถแก้ไข PHP Environment Variable โดยการชี้ไปยังชื่อไฟล์ที่อัปโหลด มีช่องโหว่ 2 รายการคือ CVE-2023-36844และ CVE-2023-36845

จากข้อมูลทาง Juniper ยกให้ช่องโหว่มีความรุนแรงเพียงระดับปานกลางเท่านั้น แต่เพียงสัปดาห์เดียวหลังที่ข้อมูลเหล่านี้ถูกเปิดเผย ผู้เชี่ยวชาญจาก watchTower Labs ก็ปล่อยโค้ดสาธิตออกมาทันควันด้วยการประกอบ 2 ช่องโหว่ระหว่าง CVE-2023-36846 และ CVE-2023-36845 เข้าด้วยกัน เพื่อการอัปโหลดไฟล์เข้าไป ซึ่งผู้เชี่ยวชาญเชื่อว่าความง่ายของการใช้งานและระดับสิทธิ์ที่ได้จะทำให้เกิดการโจมตีในวงกว้าง

แล้วก็ตามคาดจริงๆ เพราะในวันเดียวกันก็ความพยายามโจมตีเกิดขึ้นจริง ที่คาดว่าจะมาจากการประยุกต์ใช้สิ่งที่โค้ดสาธิตทำ ด้วยเหตุนี้เองหากมีการใช้งาน J-Web ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ก็ควรเร่งดำเนินการอุดช่องโหว่กันได้แล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-juniper-rce-bug-chain-after-poc-release/ และ https://www.bleepingcomputer.com/news/security/exploit-released-for-juniper-firewall-bugs-allowing-rce-attacks/ และ https://www.helpnetsecurity.com/2023/08/28/poc-rce-juniper-firewalls/