JunOS operatsioonisüsteemiga varustatud Juniperi võrguseadmetes kasutatavas J-Webi veebiliideses on tuvastatud mitmeid turvaauke, millest kõige ohtlikum (CVE-2022-22241) võimaldab kaugkäivitada oma koodi süsteemis ilma, et autentimine, saates spetsiaalselt loodud HTTP päringu. Juniperi seadmete kasutajatel soovitatakse installida püsivara värskendused ja kui see pole võimalik, veenduge, et juurdepääs veebiliidesele oleks välistest võrkudest blokeeritud ja piiratud ainult usaldusväärsete hostidega.
Haavatavuse olemus seisneb selles, et kasutaja edastatud failiteed töödeldakse /jsdm/ajax/logging_browse.php skriptis ilma autentimise kontrollimise eelses etapis prefiksit sisutüübiga filtreerimata. Ründaja võib pildi varjus edastada pahatahtliku phar-faili ja saavutada phar-arhiivis asuva PHP-koodi täitmise, kasutades ründemeetodit "Phar deserialiseerimine" (näiteks määrates failitee=phar:/path/pharfile.jpg ” taotluses).
Probleem on selles, et üleslaaditud faili kontrollimisel PHP funktsiooniga is_dir() deserialiseerib see funktsioon automaatselt Phari arhiivi metaandmed, kui töödeldakse "phar://" algavaid teid. Sarnast efekti täheldatakse ka kasutaja esitatud failiteede töötlemisel funktsioonides file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() ja fileize().
Rünnaku teeb keeruliseks asjaolu, et lisaks phar-arhiivi käivitamisele peab ründaja leidma võimaluse selle seadmesse allalaadimiseks (avades /jsdm/ajax/logging_browse.php, saate määrata ainult tee käivitada juba olemasolev fail). Failide seadmesse jõudmise võimalikud stsenaariumid hõlmavad pildina maskeeritud phar-faili allalaadimist pildiedastusteenuse kaudu ja faili asendamist veebisisu vahemälus.
Muud haavatavused:
- CVE-2022-22242 – skripti error.php väljundis filtreerimata välisparameetrite asendamine, mis võimaldab lingi jälgimisel kasutaja brauseris saidiülest skriptimist ja suvalise JavaScripti koodi käivitamist (näiteks “https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Seda haavatavust saab kasutada administraatori seansi parameetrite pealtkuulamiseks, kui ründajatel õnnestub panna administraator avama spetsiaalselt loodud linki.
- CVE-2022-22243, CVE-2022-22244 XPATH avaldise asendamine skriptide jsdm/ajax/wizards/setup/setup.php ja /modules/monitor/interfaces/interface.php kaudu võimaldab privilegeeritud autentitud kasutajal administraatoriseanssidega manipuleerida.
- CVE-2022-22245 Kui skriptis Upload.php töödeldavatel radadel ei ole ".." jada korralikult desinfitseeritud, saab autentitud kasutaja üles laadida oma PHP-faili kataloogi, mis võimaldab PHP skripte käivitada (näiteks läbides tee "failinimi=\. .\...\..\..\www\dir\new\shell.php").
- CVE-2022-22246 – suvalise kohaliku PHP-faili käivitamise võimalus skripti jrest.php autentitud kasutaja manipuleerimise teel, mille puhul kasutatakse väliseid parameetreid, et moodustada funktsiooniga "require_once()" laaditud faili nimi. näiteks "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Allikas: opennet.ru