Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
RCE da 9,8 su Juno OS di Juniper Networks serie SRX/EX che consente privilegi root

RCE da 9,8 su Juno OS di Juniper Networks serie SRX/EX che consente privilegi root

12 Gennaio 2024 21:00

Una vulnerabilità di scrittura fuori dal limite in J-Web di Juniper Networks Junos OS serie SRX e serie EX consente a un utente malintenzionato non autenticato basato sulla rete di provocare un Denial of Service (DoS) o un’esecuzione di codice remoto (RCE) e ottenere i privilegi di root sul dispositivo.

Questo problema è causato dall’uso di una funzione non sicura che consente a un utente malintenzionato di sovrascrivere la memoria in modo arbitrario.

Questo problema riguarda Juniper Networks Junos OS serie SRX e serie EX:

Advertising
  • Versioni del sistema operativo Junos precedenti alla 20.4R3-S9;
  • Versioni Junos OS 21.2 precedenti a 21.2R3-S7;
  • Versioni Junos OS 21.3 precedenti a 21.3R3-S5;
  • Versioni Junos OS 21.4 precedenti a 21.4R3-S5;
  • Versioni Junos OS 22.1 precedenti a 22.1R3-S4;
  • Versioni Junos OS 22.2 precedenti a 22.2R3-S3;
  • Versioni Junos OS 22.3 precedenti a 22.3R3-S2;
  • Versioni Junos OS 22.4 precedenti a 22.4R2-S2, 22.4R3.

Sul dispositivo deve essere presente la seguente configurazione minima:

  • Gestione web servizi di sistema http
  • Gestione web servizi di sistema https

Juniper SIRT non è a conoscenza di alcuno sfruttamento dannoso di questa vulnerabilità.

Questo problema è stato scoperto durante una ricerca sulla sicurezza esterna ed è stato assegnato il seguente identificativo CVE-2024-21591.

Le seguenti versioni software sono state aggiornate per risolvere questo problema specifico:

Sistema operativo Junos: 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1 , 23.2R2, 23.4R1 e tutte le versioni successive.

Questo problema viene monitorato come PR  1747984  visibile sul sito Web dell’assistenza clienti di Juniper.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks