Der er identificeret adskillige sårbarheder i J-Web-webgrænsefladen, der bruges i Juniper-netværksenheder udstyret med JunOS-operativsystemet. Den farligste af disse (CVE-2022-22241) tillader fjernudførelse af kode i systemet uden godkendelse ved at sende en specialdesignet HTTP-anmodning. Brugere af Juniper-udstyr rådes til at installere en firmwareopdatering, og hvis dette ikke er muligt, skal det sikres, at adgang til webgrænsefladen er blokeret fra eksterne netværk og begrænset til kun betroede værter.
Sårbarheden ligger i, at den filsti, der transmitteres af brugeren, behandles i scriptet /jsdm/ajax/logging_browse.php uden at filtrere indholdstypepræfikset før godkendelse. En angriber kan transmittere en ondsindet phar-fil under dække af et billede og opnå udførelse af PHP-kode placeret i phar-arkivet ved hjælp af angrebsmetoden "Phar deserialisering" (for eksempel ved at angive "filepath=phar:/path/pharfile.jpg" i anmodningen).
Problemet er, at når man tjekker en uploadet fil ved hjælp af PHP-funktionen is_dir(), deserialiserer denne funktion automatisk metadata fra Phar-arkivet (PHP-arkiv), når stier, der starter med "phar://", behandles. En lignende effekt observeres, når brugerangivne filstier behandles i funktionerne file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() og filesize().
Angrebet kompliceres af, at angriberen udover at starte udførelsen af phar-arkivet skal finde en måde at downloade det til enheden (via en anmodning til /jsdm/ajax/logging_browse.php kan du kun angive stien til at udføre en eksisterende fil). Mulige scenarier for at få filer til enheden inkluderer at downloade en phar-fil som et billede via en billedoverførselstjeneste og erstatte filen i webindholdscachen.
Andre sårbarheder:
- CVE-2022-22242 - udskiftning af ufiltrerede eksterne parametre i outputtet fra error.php-scriptet, hvilket muliggør cross-site scripting og udfører vilkårlig JavaScript-kode i brugerens browser, når der klikkes på et link (for eksempel "https://JUNOS_IP/error.php?SERVER_NAME= alert(0) "Sårbarheden kan bruges til at opfange administratorsessionsparametre, hvis angribere formår at få administratoren til at åbne et specialudformet link."
- CVE-2022-22243, CVE-2022-22244 - Udskiftning af XPATH-udtryk via scripts som jsdm/ajax/wizards/setup/setup.php og /modules/monitor/interfaces/interface.php tillader en ikke-privilegeret, autentificeret bruger at manipulere administratorsessioner.
- CVE-2022-22245 - Manglende korrekt rensning af ".."-sekvensen i stier behandlet i Upload.php-scriptet tillader en godkendt bruger at uploade sin PHP-fil til en mappe, der tillader PHP-scripts at blive udført (f.eks. ved at overføre stien "fileName=\..\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Mulighed for at udføre vilkårlig lokal PHP-fil via autentificeret brugermanipulation af jrest.php-scriptet, hvor eksterne parametre bruges til at danne filnavnet, der indlæses af funktionen "require_once()" (f.eks. "/jrest.php?payload=alol/lol/any\..\..\..\..\any\file")
Kilde: opennet.ru
