421/66 (IT) ประจำวันพุธที่ 20 กันยายน 2566
การวิจัยใหม่พบว่าอุปกรณ์ไฟร์วอลล์ Juniper ที่ถูกเปิดเผยทางอินเทอร์เน็ตเกือบ 12,000 เครื่อง มีความเสี่ยงต่อช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่เพิ่งเปิดเผยเมื่อเร็ว ๆ นี้
VulnCheck ซึ่งค้นพบช่องโหว่ใหม่ CVE-2023-36845 กล่าวว่าอาจถูกโจมตีโดย “ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องและระยะไกลเพื่อรันโค้ดตามอำเภอใจบนไฟร์วอลล์ Juniper โดยไม่ต้องสร้างไฟล์บนระบบ” CVE-2023-36845 คือช่องโหว่ที่มีระดับความรุนแรงปานกลางในองค์ประกอบ J-Web ของ Junos OS ที่ผู้คุกคามอาจใช้เพื่อควบคุมตัวแปรสภาพแวดล้อมที่สำคัญบางอย่าง เมื่อเดือนที่แล้ว Juniper Networks ได้ออกแพตช์ CVE-2023-36844, CVE-2023-36846 และ CVE-2023-36847 ในการอัปเดตนอกรอบ ซึ่งการใช้ประโยชน์จาก Proof-of-Concept (PoC) ที่ตามมาซึ่งคิดค้นโดย watchTowr รวมทั้ง CVE-2023-36846 และ CVE-2023-36845 เพื่ออัปโหลดไฟล์ PHP ที่มีเชลล์โค้ดที่เป็นอันตรายและบรรลุการเรียกใช้โค้ด ในทางกลับกัน การใช้ประโยชน์ล่าสุดส่งผลกระทบต่อระบบรุ่นเก่าและสามารถเขียนได้โดยใช้คำสั่ง cURL เดียว โดยเฉพาะอย่างยิ่ง ต้องใช้ CVE-2023-36845 เท่านั้นในการบรรลุวัตถุประสงค์เดียวกัน
ไฟร์วอลล์เป็นเป้าหมายที่น่าสนใจสำหรับ APT เนื่องจากช่วยเชื่อมโยงเข้าสู่เครือข่ายที่ได้รับการป้องกัน และสามารถทำหน้าที่เป็นโฮสต์ที่มีประโยชน์สำหรับโครงสร้างพื้นฐาน C2” Jacob Baines กล่าว “ใครก็ตามที่มีไฟร์วอลล์ Juniper ที่ไม่ได้รับการติดตั้งควรตรวจสอบสัญญาณของการถูก compromise
แหล่งข่าว https://thehackernews.com/2023/09/over-12000-juniper-firewalls-found.html
