Juniper Networks, bazı yönlendiricilerinde kimlik doğrulama atlamasına yol açabilecek kritik bir güvenlik açığını gidermek için bant dışı güvenlik güncellemeleri yayınladı.
CVE-2024-2973 olarak izlenen güvenlik açığının CVSS puanı 10,0 olup, bu da en yüksek ciddiyeti gösteriyor.
Şirket geçen hafta yayınladığı bir duyuruda, "Juniper Networks Session Smart Router veya Conductor'da yedekli bir eşle çalışan Alternatif Yol veya Kanal Kullanarak Kimlik Doğrulama Baypas Güvenlik Açığı, ağ tabanlı bir saldırganın kimlik doğrulamayı baypas etmesine ve cihazın tam kontrolünü ele geçirmesine olanak tanır" dedi.
Juniper Networks'e göre bu eksiklik yalnızca yüksek kullanılabilirliğe sahip yedekli yapılandırmalarda çalışan yönlendiricileri veya iletkenleri etkiliyor. Etkilenen cihazların listesi aşağıda listelenmiştir:
- Session Smart Router (all versions before 5.6.15, from 6.0 before 6.1.9-lts, and from 6.2 before 6.2.5-sts)
- Session Smart Conductor (all versions before 5.6.15, from 6.0 before 6.1.9-lts, and from 6.2 before 6.2.5-sts)
- WAN Assurance Router (6.0 versions before 6.1.9-lts and 6.2 versions before 6.2.5-sts)
Bu yılın başlarında Hewlett Packard Enterprise (HPE) tarafından yaklaşık 14 milyar dolara satın alınan ağ ekipmanı üreticisi, söz konusu açığın aktif olarak kullanıldığına dair herhangi bir kanıt bulamadığını söyledi.
Ayrıca şirket içi ürün testleri sırasında güvenlik açığını keşfettiği ve sorunu çözecek herhangi bir geçici çözüm bulunmadığı da belirtildi.
Ayrıca, "Bu güvenlik açığı, Mist Cloud'a bağlı MIST tarafından yönetilen WAN Güvencesi yönlendiricileri için etkilenen cihazlara otomatik olarak yamalanmıştır" dedi. "Düzeltmenin, bir İletken tarafından yönetilen yönlendiricilere veya WAN güvence yönlendiricilerine otomatik olarak uygulandığının, yönlendiricinin veri düzlemi işlevleri üzerinde hiçbir etkisi olmadığını unutmamak önemlidir."
Ocak 2024'te şirket, aynı ürünlerdeki ( CVE-2024-21591 , CVSS puanı: 9,8) bir saldırganın hizmet reddine (DoS) veya uzaktan kod yürütmesine neden olmasını sağlayabilecek kritik bir güvenlik açığına yönelik düzeltmeler de kullanıma sundu. ve cihazlarda kök ayrıcalıkları elde edin.
Şirketin SRX güvenlik duvarlarını etkileyen çok sayıda güvenlik kusuru ve geçen yıl tehdit aktörleri tarafından silah haline getirilen EX anahtarları göz önüne alındığında , kullanıcıların potansiyel tehditlere karşı korunmak için yamaları uygulamaları çok önemli.
Ayrıca şirket içi ürün testleri sırasında güvenlik açığını keşfettiği ve sorunu çözecek herhangi bir geçici çözüm bulunmadığı da belirtildi.
Ayrıca, "Bu güvenlik açığı, Mist Cloud'a bağlı MIST tarafından yönetilen WAN Güvencesi yönlendiricileri için etkilenen cihazlara otomatik olarak yamalanmıştır" dedi. "Düzeltmenin, bir İletken tarafından yönetilen yönlendiricilere veya WAN güvence yönlendiricilerine otomatik olarak uygulandığının, yönlendiricinin veri düzlemi işlevleri üzerinde hiçbir etkisi olmadığını unutmamak önemlidir."
Ocak 2024'te şirket, aynı ürünlerdeki ( CVE-2024-21591 , CVSS puanı: 9,8) bir saldırganın hizmet reddine (DoS) veya uzaktan kod yürütmesine neden olmasını sağlayabilecek kritik bir güvenlik açığına yönelik düzeltmeler de kullanıma sundu. ve cihazlarda kök ayrıcalıkları elde edin.
Şirketin SRX güvenlik duvarlarını etkileyen çok sayıda güvenlik kusuru ve geçen yıl tehdit aktörleri tarafından silah haline getirilen EX anahtarları göz önüne alındığında , kullanıcıların potansiyel tehditlere karşı korunmak için yamaları uygulamaları çok önemli.
Son düzenleme:
