Se estima que 12.000 firewalls y conmutadores EX Juniper SRX son vulnerables a una falla de ejecución remota de código sin archivos que los atacantes pueden explotar sin autenticación.
En agosto, Juniper reveló numerosas vulnerabilidades de ‘manipulación de variantes del entorno PHP’ (CVE-2023-36844/CVE-2023-36845) y ‘falta de autenticación para funciones críticas’ (CVE-2023-36846/CVE-2023-36847) que por sí solas sólo tenía una calificación de gravedad «media» de 5,3.
Sin embargo, cuando se encadenaron, estas vulnerabilidades se convirtieron en una falla crítica de ejecución remota de código con una calificación de 9,8.
En un informe técnico posterior, watchTowr Labs publicó una prueba de concepto que encadenaba las fallas CVE-2023-36845 y CVE-2023-36846, lo que permitía a los investigadores ejecutar código de forma remota cargando dos archivos en un dispositivo vulnerable.
Hoy, el investigador de vulnerabilidades de VulnCheck, Jacob Baines, lanzó otro exploit PoC que solo utiliza CVE-2023-36845, evitando la necesidad de cargar archivos y al mismo tiempo logrando la ejecución remota de código.
Como parte del informe de Baines, el investigador compartió un escáner gratuito en GitHub para ayudar a identificar implementaciones vulnerables, que muestra miles de dispositivos vulnerables expuestos en Internet.
«En este blog, demostramos cómo CVE-2023-36845, una vulnerabilidad marcada como de gravedad «media» por Juniper, se puede utilizar para ejecutar código arbitrario de forma remota sin autenticación», explica el informe de VulnCheck.
«Hemos convertido un exploit de varios pasos (pero muy bueno) en un exploit que se puede escribir usando un solo comando curl y parece afectar a más sistemas (más antiguos)».
El impacto del problema de seguridad identificado es amplio y mucho más grave de lo que sugiere su calificación CVSS «media» y los administradores deben tomar medidas inmediatas para remediar la situación.
La nueva hazaña
Baines dice que compró un antiguo firewall Juniper SRX210 para probar el exploit, pero descubrió que su dispositivo no tenía la funcionalidad do_fileUpload necesaria para cargar archivos en el dispositivo.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
Esto efectivamente rompió la cadena de exploits de watchTowr, lo que hizo que el investigador viera si había otra forma de lograr la ejecución remota de código.
Baines descubrió que se podía evitar la necesidad de cargar dos archivos en los servidores de destino manipulando las variables de entorno.
El servidor web Appweb del firewall de Juniper procesa las solicitudes HTTP del usuario a través de stdin cuando ejecuta un script CGI.
Explotando esto, los atacantes pueden engañar al sistema para que reconozca un pseudo «archivo», /dev/fd/0 y al ajustar la variable de entorno PHPRC y la solicitud HTTP, pueden mostrar datos confidenciales.
A continuación, VulnCheck aprovechó las funciones ‘auto_prepend_file’ y ‘allow_url_include’ de PHP para ejecutar código PHP arbitrario a través del protocolo data:// sin cargar ningún archivo.
Dicho esto, la clasificación de gravedad de CVE-2023-36845, que es 5,4, ahora debería reevaluarse a una puntuación crítica mucho más alta debido a su capacidad para lograr la ejecución remota de código sin ningún otro defecto.
Impacto y riesgo
La vulnerabilidad CVE-2023-36845 afecta a las siguientes versiones de Junos OS en las series EX y SRX:
- Todas las versiones anteriores a 20.4R3-S8
- 21.1 versión 21.1R1 y versiones posteriores
- Versiones 21.2 anteriores a 21.2R3-S6
- Versiones 21.3 anteriores a 21.3R3-S5
- Versiones 21.4 anteriores a 21.4R3-S5
- Versiones 22.1 anteriores a 22.1R3-S3
- Versiones 22.2 anteriores a 22.2R3-S2
- Versiones 22.3 anteriores a 22.3R2-S2, 22.3R3
- Versiones 22.4 anteriores a 22.4R2-S1, 22.4R3
El proveedor publicó actualizaciones de seguridad que abordaron la vulnerabilidad el 17 de agosto de 2023. Sin embargo, la baja calificación de gravedad que recibió la falla no hizo sonar las alarmas entre los usuarios afectados, muchos de los cuales podrían haber optado por posponer su aplicación.
Los escaneos de red de VulnCheck mostraron 14,951 Juniper con interfaces web expuestas a Internet. De una muestra de 3000 dispositivos, Baines descubrió que el 79% eran vulnerables a esta falla RCE.
Si ese porcentaje se aplica a todos los dispositivos expuestos, es posible que estemos ante 11.800 dispositivos vulnerables en Internet.
Finalmente, el informe menciona que Shadowserver y GreyNoise han visto atacantes investigando puntos finales de Junos OS, por lo que los piratas informáticos ya están explorando la oportunidad de aprovechar CVE-2023-36845 en los ataques.
Por lo tanto, los administradores de Juniper deben aplicar estas actualizaciones lo antes posible, ya que podrían usarse para obtener acceso inicial a las redes corporativas.
Fuente: bleepingcomputer
