انتشار بروزرسانیهای فوری سیستم عامل Junos برای نقصهای بحرانی توسط Juniper Networks
اخبار داغ فناوری اطلاعات و امنیت شبکه
مجموعه Juniper Networks بروزرسانیهای فوری را برای رفع نقصهای شدید و بحرانی سری SRX و سری EX منتشر کرده است. این موارد میتواند توسط یک عامل تهدید برای در دست گرفتن کنترل سیستمهای حساس مورد سواستفاده قرار گیرد.
این آسیبپذیریها که با نامهای CVE-2024-21619 و CVE-2024-21620 ردیابی میشوند، ریشه در کامپوننت J-Web دارند و همه نسخههای Junos OS را تحت تاثیر قرار میدهند. دو مشکل دیگر، CVE-2023-36846 و CVE-2023-36851، قبلا توسط شرکت در آگوست 2023 افشا و اطلاعرسانی شده بودند.
• آسیبپذیری CVE-2024-21619 (امتیاز CVSS: 5.3): آسیبپذیری احراز هویت که میتواند منجر به افشای اطلاعات حساس پیکربندی شود.
• آسیبپذیری CVE-2024-21620 (امتیاز CVSS: 8.8): یک آسیبپذیری بین سایتی اسکریپت یا cross-site scripting (XSS) که میتواند به اجرای دستورات دلخواه با مجوزهای هدف با استفاده از یک درخواست طراحی شده خاص، منتج شود.
شرکت امنیت سایبری WatchTowr Labs این موارد را کشف و گزارش کرد. این دو آسیبپذیری در نسخههای زیر برطرف شدهاند:
• آسیبپذیری CVE-2024-21619: نسخههای 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1، و همه نسخههای بعدی.
• آسیبپذیری CVE-2024-21620: نسخههای 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2، همه نسخههای بعدی.
در راستای کاهش موقت سطح خطرات، تا زمانی که اصلاحات اعمال شوند، این شرکت توصیه میکند که کاربران J-Web را غیرفعال کنند یا دسترسی به هاستهای مورد اعتماد را محدود کنند.
لازم به ذکر است که هر دو نقص CVE-2023-36846 و CVE-2023-36851 در نوامبر 2023 توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بر اساس شواهدی از بهرهبرداری فعال به لیست آسیبپذیریهای شناخته شده (KEV) اضافه شدند.
اوایل ماه ژانویه امسال، Juniper Networks همچنین اصلاحاتی را منتشر کرد که حاوی یک آسیبپذیری مهم در همان محصولات (CVE-2024-21591، امتیاز CVSS: 9.8) است که میتواند مهاجم را قادر به ایجاد denial-of-service (DoS) یا اجرای کد از راه دور کرده و اختیارات روت را روی دستگاهها بهدست آورد.
برچسب ها: SRX, CVE-2023-36851, CVE-2024-21620, CVE-2024-21619, Cybernews, EX Juniper SRX, Juniper Networks Junos OS, CVE-2023-36846, Junos OS, J-Web, Cyber Warfare, Cross-Site Scripting, جونیپر, Juniper Networks, Juniper, XSS, DoS, cybersecurity, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news