S'han identificat diverses vulnerabilitats a la interfície web J-Web, que s'utilitza en dispositius de xarxa Juniper equipats amb el sistema operatiu JunOS, el més perillós dels quals (CVE-2022-22241) us permet executar el vostre codi de manera remota al sistema sense autenticació mitjançant l'enviament d'una sol·licitud HTTP especialment dissenyada. Es recomana als usuaris d'equips Juniper que instal·lin actualitzacions de microprogramari i, si això no és possible, assegureu-vos que l'accés a la interfície web estigui bloquejat des de xarxes externes i limitat només als amfitrions de confiança.
L'essència de la vulnerabilitat és que la ruta del fitxer passat per l'usuari es processa a l'script /jsdm/ajax/logging_browse.php sense filtrar el prefix amb el tipus de contingut en l'etapa abans de la comprovació d'autenticació. Un atacant pot transmetre un fitxer phar maliciós sota l'aparença d'una imatge i aconseguir l'execució del codi PHP situat a l'arxiu phar mitjançant el mètode d'atac "deserialització Phar" (per exemple, especificant "filepath=phar:/path/pharfile.jpg". ” a la sol·licitud).
El problema és que quan es comprova un fitxer carregat utilitzant la funció PHP is_dir(), aquesta funció deserialitza automàticament les metadades de l'Arxiu Phar quan es processen camins que comencen per "phar://". S'observa un efecte similar quan es processen les rutes de fitxers subministrades per l'usuari a les funcions file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() i filesize().
L'atac es complica pel fet que, a més d'iniciar l'execució de l'arxiu phar, l'atacant ha de trobar una manera de descarregar-lo al dispositiu (accedint a /jsdm/ajax/logging_browse.php, només podeu especificar el camí a executar un fitxer ja existent). Els escenaris possibles per als fitxers que arribin al dispositiu inclouen la descàrrega d'un fitxer phar disfressat com una imatge mitjançant un servei de transferència d'imatges i la substitució del fitxer a la memòria cau de contingut web.
Altres vulnerabilitats:
- CVE-2022-22242: substitució de paràmetres externs no filtrats a la sortida de l'script error.php, que permet l'escriptura entre llocs i l'execució de codi JavaScript arbitrari al navegador de l'usuari quan segueix un enllaç (per exemple, "https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " La vulnerabilitat es podria utilitzar per interceptar els paràmetres de sessió de l'administrador si els atacants aconsegueixen que l'administrador obri un enllaç especialment dissenyat.
- La substitució d'expressions CVE-2022-22243, CVE-2022-22244 XPATH mitjançant scripts jsdm/ajax/wizards/setup/setup.php i /modules/monitor/interfaces/interface.php permet a un usuari autenticat sense privilegis manipular sessions d'administració.
- CVE-2022-22245 La manca de desinfecció adequada de la seqüència ".." en els camins processats a l'script Upload.php permet a un usuari autenticat penjar el seu fitxer PHP a un directori que permet executar scripts PHP (per exemple, passant el camí "fileName=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Possibilitat d'execució arbitrària d'un fitxer PHP local mitjançant la manipulació per part d'un usuari autenticat de l'script jrest.php, en el qual s'utilitzen paràmetres externs per formar el nom del fitxer carregat per la funció "require_once()" (per a exemple, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Font: opennet.ru