Sicherheitsanfälligkeiten in der Weboberfläche von Netzwerkgeräten von Juniper, die mit JunOS ausgeliefert werden

Im Web-Interface J-Web, das in Netzwerkgeräten von Juniper mit dem Betriebssystem JunOS verwendet wird, wurden mehrere Schwachstellen entdeckt. Die gefährlichste davon (CVE-2022-22241) ermöglicht einem Angreifer, ohne Authentifizierung eigenen Code im System auszuführen, indem er eine speziell gestaltete HTTP-Anfrage sendet. Benutzer von Juniper-Geräten wird geraten, die Firmware zu aktualisieren. Sollte dies nicht möglich sein, sollte der Zugriff auf das Web-Interface aus externen Netzwerken blockiert und nur vertrauenswürdigen Hosts gestattet werden.

Die Schwachstelle besteht darin, dass der übertragene Dateipfad des Benutzers im Skript /jsdm/ajax/logging_browse.php ohne Filterung des Content-Type-Präfixes vor der Authentifizierungsprüfung verarbeitet wird. Ein Angreifer kann einen schädlichen Phar-Datei als Bild tarnen und die Ausführung des in der Phar-Archiv gespeicherten PHP-Codes erreichen, indem er die Methode "Phar-Deserialisierung" anwendet (zum Beispiel, indem er in der Anfrage "filepath=phar:/pfad/pharfile.jpg" angibt).

Das Problem besteht darin, dass bei der Überprüfung einer hochgeladenen Datei mit der PHP-Funktion is_dir() die Funktion automatisch die Metadaten aus dem Phar-Archiv (PHP Archive) deserialisiert, wenn sie mit Pfaden arbeitet, die mit „phar://“ beginnen. Ein ähnlicher Effekt tritt bei der Verarbeitung von vom Benutzer übergebenen Dateipfaden in den Funktionen file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() und filesize() auf.

Die Attacke wird dadurch erschwert, dass der Angreifer neben der Initiierung der Ausführung des Phar-Archivs auch einen Weg finden muss, das Archiv auf das Gerät zu laden (über den Zugriff auf /jsdm/ajax/logging_browse.php kann lediglich der Pfad zur Ausführung einer bereits existierenden Datei angegeben werden). Zu den möglichen Szenarien, wie Dateien auf das Gerät gelangen können, gehört das Hochladen einer Phar-Datei unter dem Deckmantel eines Bildes über einen Bildübertragungsdienst sowie das Einfügen der Datei in den Cache von Webinhalten.

Weitere Schwachstellen:

  • CVE-2022-22242 — Einfügen von ungefilterten externen Parametern in die Ausgabe des Skripts error.php, was Cross-Site-Scripting ermöglicht und es erlaubt, beliebigen JavaScript-Code im Browser des Nutzers auszuführen, wenn der Benutzer auf einen Link klickt (z.B. "https://JUNOS_IP/error.php?SERVER_NAME="). Die Schwachstelle kann dazu verwendet werden, die Sitzung des Administrators abzufangen, wenn es dem Angreifer gelingt, einen speziell gestalteten Link vom Administrator öffnen zu lassen.
  • CVE-2022-22243, CVE-2022-22244 — Einfügen von XPATH-Ausdrücken über Skripte jsdm/ajax/wizards/setup/setup.php und /modules/monitor/interfaces/interface.php, was es einem nicht privilegierten authentifizierten Benutzer ermöglicht, die Sitzungen des Administrators zu manipulieren.
  • CVE-2022-22245 — Fehlende ausreichende Bereinigung der Zeichenfolge ".." in den Pfaden, die im Skript Upload.php verarbeitet werden, ermöglicht es einem authentifizierten Benutzer, seine PHP-Datei in ein Verzeichnis hochzuladen, das die Ausführung von PHP-Skripten zulässt (zum Beispiel durch Übermittlung des Pfades "fileName=\..\..\..\..\www\dir\new\shell.php").
  • CVE-2022-22246 — Möglichkeit zur Ausführung beliebiger lokaler PHP-Dateien durch einen authentifizierten Benutzer über Manipulationen mit dem Skript jrest.php, bei dem externe Parameter zur Bildung des Dateinamens verwendet werden, der von der Funktion „require_once()“ geladen wird (z. B. „/jrest.php?payload=alol/lol/any\..\..\..\..\any\file“)

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster