Έχουν εντοπιστεί αρκετά τρωτά σημεία στη διεπαφή ιστού J-Web, η οποία χρησιμοποιείται σε συσκευές δικτύου Juniper εξοπλισμένες με το λειτουργικό σύστημα JunOS, η πιο επικίνδυνη από τις οποίες (CVE-2022-22241) σας επιτρέπει να εκτελείτε εξ αποστάσεως τον κώδικά σας στο σύστημα χωρίς έλεγχος ταυτότητας με αποστολή ενός ειδικά σχεδιασμένου αιτήματος HTTP. Συνιστάται στους χρήστες του εξοπλισμού Juniper να εγκαταστήσουν μια ενημέρωση υλικολογισμικού και, εάν αυτό δεν είναι δυνατό, βεβαιωθείτε ότι η πρόσβαση στη διεπαφή ιστού είναι αποκλεισμένη από εξωτερικά δίκτυα και περιορίζεται μόνο σε αξιόπιστους κεντρικούς υπολογιστές.
Η ουσία της ευπάθειας είναι ότι η διαδρομή του αρχείου που πέρασε ο χρήστης υποβάλλεται σε επεξεργασία στο σενάριο /jsdm/ajax/logging_browse.php χωρίς φιλτράρισμα του προθέματος με τον τύπο περιεχομένου στο στάδιο πριν από τον έλεγχο ταυτότητας. Ένας εισβολέας μπορεί να μεταφέρει ένα κακόβουλο αρχείο phar με το πρόσχημα μιας εικόνας και να επιτύχει την εκτέλεση του κώδικα PHP που τοποθετείται στο αρχείο phar χρησιμοποιώντας τη μέθοδο επίθεσης "Phar deserialization" (για παράδειγμα, προσδιορίζοντας "filepath=phar:/path/pharfile .jpg» στο αίτημα).
Το πρόβλημα είναι ότι κατά τον έλεγχο ενός μεταφορτωμένου αρχείου με τη συνάρτηση is_dir() της PHP, αυτή η συνάρτηση αφαιρεί αυτόματα τα μεταδεδομένα από το Phar Archive (PHP Archive) όταν επεξεργάζεται διαδρομές που ξεκινούν με "phar://". Ένα παρόμοιο αποτέλεσμα παρατηρείται κατά την επεξεργασία των διαδρομών αρχείων που παρέχονται από τον χρήστη στις συναρτήσεις file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() και filesize().
Η επίθεση περιπλέκεται από το γεγονός ότι εκτός από την έναρξη της εκτέλεσης του αρχείου phar, ο εισβολέας πρέπει να βρει έναν τρόπο να το κατεβάσει στη συσκευή (με πρόσβαση στο /jsdm/ajax/logging_browse.php, μπορείτε μόνο να καθορίσετε τη διαδρομή για εκτέλεση ενός υπάρχοντος αρχείου). Από τα πιθανά σενάρια για την είσοδο αρχείων στη συσκευή, αναφέρεται η φόρτωση ενός αρχείου phar με το πρόσχημα μιας εικόνας μέσω μιας υπηρεσίας μεταφοράς εικόνας και η αντικατάσταση του αρχείου στην κρυφή μνήμη περιεχομένου web.
Άλλα τρωτά σημεία:
- CVE-2022-22242 - Αντικατάσταση μη φιλτραρισμένων εξωτερικών παραμέτρων στην έξοδο του σεναρίου error.php, το οποίο επιτρέπει τη δημιουργία σεναρίων μεταξύ τοποθεσιών και την εκτέλεση αυθαίρετου κώδικα JavaScript στο πρόγραμμα περιήγησης του χρήστη όταν κάνει κλικ στον σύνδεσμο (για παράδειγμα, "https:/ /JUNOS_IP/error.php?SERVER_NAME= alert(0) ". Η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για την παρεμπόδιση των παραμέτρων περιόδου λειτουργίας διαχειριστή, εάν ένας εισβολέας καταφέρει να κάνει τον διαχειριστή να ανοίξει έναν ειδικά διαμορφωμένο σύνδεσμο.
- CVE-2022-22243, СVE-2022-22244 - Αντικατάσταση έκφρασης XPATH μέσω σεναρίων jsdm/ajax/wizards/setup/setup.php και /modules/monitor/interfaces/interface.php, επιτρέπει σε έναν μη προνομιούχο διαχειριστή να χειρίζεται συνεδρία ελέγχου ταυτότητας χρήστη χωρίς δικαιώματα.
- CVE-2022-22245 - Η αποτυχία εκκαθάρισης της ακολουθίας ".." σε διαδρομές που υποβάλλονται σε επεξεργασία στο σενάριο Upload.php επιτρέπει σε έναν πιστοποιημένο χρήστη να ανεβάσει το αρχείο PHP του σε έναν κατάλογο που επιτρέπει την εκτέλεση σεναρίων PHP (για παράδειγμα, από περνώντας τη διαδρομή "fileName=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Δυνατότητα εκτέλεσης ενός αυθαίρετου τοπικού αρχείου PHP μέσω χειρισμού από έναν πιστοποιημένο χρήστη με το σενάριο jrest.php, στο οποίο χρησιμοποιούνται εξωτερικές παράμετροι για να σχηματίσουν το όνομα του αρχείου που φορτώθηκε από τη συνάρτηση "require_once ()" ( για παράδειγμα, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Πηγή: opennet.ru