Nekoliko ranjivosti je identifikovano u J-Web web interfejsu, koji se koristi u Juniper mrežnim uređajima opremljenim operativnim sistemom JunOS, od kojih najopasniji (CVE-2022-22241) omogućava daljinsko izvršavanje koda u sistemu bez autentifikaciju slanjem posebno dizajniranog HTTP zahtjeva. Korisnicima Juniper opreme savjetujemo da instaliraju ažuriranje firmvera, a ako to nije moguće, osigurajte da pristup web sučelju bude blokiran sa vanjskih mreža i ograničen samo na pouzdane hostove.
Suština ranjivosti je da se putanja datoteke koju je korisnik proslijedio obrađuje u /jsdm/ajax/logging_browse.php skripti bez filtriranja prefiksa sa tipom sadržaja u fazi prije provjere autentičnosti. Napadač može prenijeti zlonamjernu phar datoteku pod maskom slike i postići izvršenje PHP koda smještenog u phar arhivu korištenjem metode napada „Phar deserialization“ (na primjer, specificiranjem „filepath=phar:/path/pharfile .jpg” u zahtjevu).
Problem je u tome što prilikom provjere prenesene datoteke pomoću PHP-ove is_dir() funkcije, ova funkcija automatski deserializira metapodatke iz Phar arhive (PHP arhive) kada obrađuje putanje koje počinju sa "phar://". Sličan efekat se primećuje kada se obrađuju putanje fajlova koje je dostavio korisnik u funkcijama file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() i filesize().
Napad je komplikovan činjenicom da osim pokretanja izvršenja phar arhive, napadač mora pronaći način da je preuzme na uređaj (pristupom /jsdm/ajax/logging_browse.php, možete samo odrediti putanju za izvršavanje postojeće datoteke). Od mogućih scenarija da fajlovi dođu na uređaj, spominje se učitavanje phar datoteke pod krinkom slike putem usluge prijenosa slike i zamjena datoteke u keš web sadržaja.
Ostale ranjivosti:
- CVE-2022-22242 - Zamjena nefiltriranih vanjskih parametara u izlazu skripte error.php, omogućavajući skriptovanje na više lokacija i izvršavanje proizvoljnog JavaScript koda u pretraživaču korisnika kada klikne na vezu (na primjer, "https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) ". Ranjivost bi se mogla koristiti za presretanje parametara sesije administratora ako napadač uspije natjerati administratora da otvori posebno kreiranu vezu.
- CVE-2022-22243, SVE-2022-22244 - Zamjena XPATH izraza preko jsdm/ajax/wizards/setup/setup.php i /modules/monitor/interfaces/interface.php skripti, omogućava neprivilegiranom autentificiranom korisniku da manipulira administratorskom sesijom.
- CVE-2022-22245 - Neuspeh da se pravilno očisti sekvenca ".." u putanjama obrađenim u skripti Upload.php omogućava autentifikovanom korisniku da otpremi svoju PHP datoteku u direktorijum koji dozvoljava izvršavanje PHP skripti (na primer, prosleđivanje putanje "ime datoteke=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Mogućnost izvršavanja proizvoljne lokalne PHP datoteke putem manipulacije od strane autentificiranog korisnika skripte jrest.php, u kojoj se vanjski parametri koriste za formiranje imena datoteke učitane funkcijom "require_once ()" ( na primjer, "/jrest.php? payload =alol/lol/any\..\..\..\..\any\file")
izvor: opennet.ru