La vulnérabilité est particulièrement dangereuse car ce modèle se situe au cœur du réseau, de sorte que les attaquants pourraient intercepter ou rediriger les données, explique un expert.
Les administrateurs réseau équipés de routeurs Juniper PTX dans leurs environnements sont avertis qu’ils doivent immédiatement appliquer les correctifs, car une vulnérabilité critique récemment découverte pourrait conduire un acteur malveillant non authentifié à exécuter du code avec les privilèges root.
Ce trou est « particulièrement dangereux, car ces appareils se trouvent souvent au milieu du réseau, et non en marge », a déclaré Piyush Sharma, PDG de Tuskira. Si un attaquant prend le contrôle d’un PTX, l’impact est plus important qu’une compromission d’un seul appareil, car il peut devenir à la fois un point d’observation du trafic et un point de contrôle. Cela ouvre la porte à l’interception furtive des flux de données, au trafic redirigé par le contrôleur ou à des pivots faciles vers des réseaux adjacents.
Ce problème affecte les routeurs PTX exécutant des versions du système d’exploitation Junos OS Evolved antérieures à 25.4R1-S1-EVO et 25.4R2-EVO. Cela n’affecte pas le système d’exploitation Junos standard.
Dans un avis, Juniper a déclaré n’avoir connaissance d’aucune exploitation malveillante de cette vulnérabilité. Le trou a été découvert lors de tests ou de recherches internes sur la sécurité du produit.
La gamme PTX est une série de routeurs centraux modulaires hautes performances alimentés par la dernière génération d’ASIC personnalisés de la famille Express de HPE Juniper Networks et optimisés pour les migrations 400G et 800G. Ils offrent un MACsec en ligne natif 400G et 800G, une mise en mémoire tampon approfondie et un filtrage flexible. La société affirme qu’ils sont conçus pour durer dans les cas d’utilisation et les scénarios de déploiement exigeants du WAN (réseau étendu) et des centres de données, y compris le noyau, le peering, l’interconnexion des centres de données, la périphérie des centres de données, l’agrégation métropolitaine et la mise en réseau des centres de données IA.
Dans son avis, Juniper indique qu’une vulnérabilité d’attribution d’autorisation incorrecte pour les ressources critiques dans le cadre de détection des anomalies sur boîte du système d’exploitation permet à un attaquant réseau non authentifié d’exécuter du code en tant que root. Le cadre de détection est activé par défaut.
« Le cadre de détection des anomalies On-Box ne doit être accessible que par d’autres processus internes via l’instance de routage interne, mais pas via un port exposé en externe », ajoute l’alerte. « Avec la possibilité d’accéder au service et de le manipuler pour exécuter du code en tant que root, un attaquant distant peut prendre le contrôle total de l’appareil. »
Pour résoudre le problème, les administrateurs doivent s’assurer que la version 25.4R1-S1-EVO de Junos OS Evolved est installée. Ils doivent également noter que les versions 25.4R2-EVO et 26.2R1-EVO sont en route.
Si la mise à jour ne peut pas être installée immédiatement, les administrateurs doivent utiliser des listes de contrôle d’accès ou des filtres de pare-feu pour limiter l’accès aux seuls réseaux et hôtes de confiance, afin de réduire le risque d’exploitation de ce problème. Assurez-vous que ces filtres autorisent uniquement les connexions explicitement requises et bloquent toutes les autres.
Une autre option consiste à désactiver le service en entrant dans la ligne de commande du système d’exploitation.
Sharma a déclaré que les vulnérabilités de Juniper ont attiré beaucoup d’attention de la part des pirates au fil des ans en raison du positionnement privilégié que confèrent les routeurs si une présence à long terme est établie. « En tant que système d’exploitation réseau, Junos se situe au carrefour de points de contrôle majeurs tels que l’identité, la politique et le trafic, ce qui signifie qu’un seul exploit peut s’étendre rapidement sur des réseaux précieux », a-t-il déclaré. « De plus, ces points d’ancrage offrent aux attaquants une fenêtre plus longue pour trouver et exploiter les appareils vulnérables, car il est difficile d’appliquer des correctifs aux équipements du réseau central en raison des longs temps d’arrêt. »
Pour éviter que des vulnérabilités telles que la faille actuelle ne conduisent à une exploitation, les organisations ont besoin d’une plate-forme de défense capable de surveiller en permanence les anomalies sur les réseaux et d’alerter les équipes de sécurité lorsqu’un comportement malveillant est détecté, a-t-il ajouté.
La divulgation de la vulnérabilité intervient alors que la société mère de Juniper, HPE, se prépare à présenter les nouvelles familles de routeurs PTX12000 et PTX10002 lors du Mobile World Congress de la semaine prochaine. HPE a acheté Juniper l’année dernière.
