Уязвимость в HTTP/HTTPS сервисе, используемом J-Web, Веб-аутентификации, Динамическом VPN (DVPN), Аутентификации Брандмауэра с веб-перенапр…

Уязвимость в HTTP/HTTPS сервисе, используемом J-Web, Веб-аутентификации, Динамическом VPN (DVPN), Аутентификации Брандмауэра с веб-перенаправлением и Автоматизированной Поставке (ZTP), позволяет неаутентифицированному злоумышленнику выполнять локальное включение файла (LFI) или обход пути. Используя эту уязвимость, злоумышленник может инъектировать команды в httpd.log, читать файлы с разрешением 'world' или получать токены сессии J-Web. В случае инъекции команд, поскольку HTTP-сервис работает от имени пользователя 'nobody', воздействие этой инъекции команд ограничено. (Оценка CVSS 5.3, вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) В случае чтения файлов с разрешением 'world', в Junos OS 19.3R1 и выше, неаутентифицированный злоумышленник может прочитать файл конфигурации. (Оценка CVSS 5.9, вектор CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) Если J-Web включен, злоумышленник может получить тот же уровень доступа, что и любой, кто активно вошел в систему J-Web. Если администратор вошел в систему, злоумышленник может получить доступ администратора к J-Web. (Оценка CVSS 8.8, вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) Эта проблема затрагивает только устройства Juniper Networks Junos OS с включенными HTTP/HTTPS сервисами. Устройства Junos OS с отключенными HTTP/HTTPS сервисами не подвержены атаке. Если HTTP/HTTPS сервисы включены, следующая команда покажет процессы httpd: user@device> show system processes | match http 5260 - S 0:00.13 /usr/sbin/httpd-gk -N 5797 - I 0:00.10 /usr/sbin/httpd --config /jail/var/etc/httpd.conf Чтобы подвести итоги: Если HTTP/HTTPS сервисы отключены, влияние от этой уязвимости отсутствует. Если HTTP/HTTPS сервисы включены и J-Web не используется, эта уязвимость имеет оценку CVSS 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N). Если J-Web включен, эта уязвимость имеет оценку CVSS 8.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H). Juniper SIRT получил единственный отчет о том, что эта уязвимость использовалась в дикой природе. Избыточная осторожность требует уведомления клиентов, чтобы они могли предпринять соответствующие действия. Индикаторы компрометации: /var/log/httpd.log могут содержать индикаторы того, что команды были инъектированы или файлы получили доступ. Администратор устройства может искать эти индикаторы, ища строковые шаблоны "=*;*&" или "*%3b*&" в /var/log/httpd.log, используя следующую команду: user@device> show log httpd.log | match "=*;*&|=*%3b*&" Если эта команда возвращает любой вывод, это может указывать на злонамеренные попытки или просто сканирование. Также следует проверить записанные логи, используя следующую команду: user@device> show log httpd.log.0.gz | match "=*;*&|=*%3b*&" user@device> show log httpd.log.1.gz | match "=*;*&|=*%3b*&" Обратите внимание, что опытный злоумышленник, вероятно, удалит эти записи из локального файла журнала, тем самым эффективно устраняя любые надежные сигнатуры, подтверждающие, что устройство было атаковано. Эта проблема затрагивает устройства Juniper Networks Junos OS версии 12.3 до 12.3R12-S16; версии 12.3X48 до 12.3X48-D101, 12.3X48-D105; версии 14.1X53 до 14.1X53-D54; версии 15.1 до 15.1R7-S7; версии 15.1X49 до 15.1X49-D211, 15.1X49-D220; версии 16.1 до 16.1R7-S8; версии 17.2 до 17.2R3-S4; версии 17.3 до 17.3R3-S8; версии 17.4 до 17.4R2-S11, 17.4R3-S2; версии 18.1 до 18.1R3-S10; версии 18.2 до 18.2R2-S7, 18.2R3-S4; версии 18.3 до 18.3R2-S4, 18.3R3-S2; версии 18.4 до 18.4R1-S7, 18.4R3-S2; версия 18.4R2 и более поздние версии; версии 19.1 до 19.1R1-S5, 19.1R3-S1; версия 19.1R2 и более поздние версии; версии 19.2 до 19.2R2; версии 19.3 до 19.3R2-S3, 19.3R3; версии 19.4 до 19.4R1-S2, 19.4R2; версии 20.1 до 20.1R1-S1, 20.1R2.