چندین آسیبپذیری در رابط وب J-Web شناسایی شده است که در دستگاههای شبکه Juniper مجهز به سیستم عامل JunOS استفاده میشود که خطرناکترین آنها (CVE-2022-22241) به شما این امکان را میدهد تا کد خود را از راه دور در سیستم اجرا کنید بدون اینکه احراز هویت با ارسال یک درخواست HTTP طراحی شده خاص. به کاربران تجهیزات Juniper توصیه می شود که یک به روز رسانی سیستم عامل نصب کنند و اگر این امکان پذیر نیست، اطمینان حاصل کنید که دسترسی به رابط وب از شبکه های خارجی مسدود شده و فقط به میزبان های قابل اعتماد محدود می شود.
ماهیت آسیبپذیری این است که مسیر فایلی که کاربر منتقل میکند در اسکریپت /jsdm/ajax/logging_browse.php بدون فیلتر کردن پیشوند با نوع محتوا در مرحله قبل از بررسی احراز هویت پردازش میشود. یک مهاجم میتواند یک فایل مخرب phar را تحت پوشش یک تصویر منتقل کند و با استفاده از روش حمله «Phar deserialization» (به عنوان مثال، با تعیین «filepath=phar:/path/pharfile»، به اجرای کد PHP موجود در آرشیو phar دست یابد. jpg” در درخواست).
مشکل این است که هنگام بررسی یک فایل آپلود شده با تابع is_dir() PHP، این تابع به طور خودکار متادیتا را از بایگانی Phar (آرشیو PHP) در هنگام پردازش مسیرهایی که با "phar://" شروع می شوند، از فهرست خارج می کند. اثر مشابهی هنگام پردازش مسیرهای فایل ارائه شده توسط کاربر در توابع file_get_contents()، fopen()، file()، file_exists()، md5_file()، filemtime() و fileize() مشاهده می شود.
حمله به این دلیل پیچیده است که علاوه بر شروع اجرای بایگانی فار، مهاجم باید راهی برای دانلود آن در دستگاه پیدا کند (با دسترسی به /jsdm/ajax/logging_browse.php، فقط می توانید مسیر را برای آن مشخص کنید. اجرای یک فایل موجود). از سناریوهای احتمالی برای ورود فایل ها به دستگاه، بارگذاری یک فایل phar تحت پوشش یک تصویر از طریق سرویس انتقال تصویر و جایگزینی فایل در حافظه پنهان محتوای وب ذکر شده است.
سایر آسیب پذیری ها:
- CVE-2022-22242 - جایگزینی پارامترهای خارجی فیلتر نشده در خروجی اسکریپت error.php، که امکان اسکریپت بین سایتی و اجرای کدهای جاوا اسکریپت دلخواه را در مرورگر کاربر هنگام کلیک کردن روی پیوند (به عنوان مثال، "https:/ می کند. /JUNOS_IP/error.php?SERVER_NAME= alert(0) ". اگر مهاجم موفق شود مدیر را وادار کند که یک پیوند ساخته شده خاص را باز کند، میتوان از این آسیبپذیری برای رهگیری پارامترهای جلسه سرپرست استفاده کرد.
- CVE-2022-22243، СVE-2022-22244 - جایگزینی عبارت XPATH از طریق اسکریپت های jsdm/ajax/wizards/setup/setup.php و /modules/monitor/interfaces/interface.php، به یک کاربر غیرمجاز اجازه می دهد تا جلسه کاربر احراز هویت شده را دستکاری کند.
- CVE-2022-22245 - عدم پاکسازی صحیح دنباله ".." در مسیرهای پردازش شده در اسکریپت Upload.php به کاربر تایید شده اجازه می دهد تا فایل PHP خود را در فهرستی آپلود کند که اجازه می دهد اسکریپت های PHP اجرا شوند (مثلاً توسط عبور از مسیر "fileName=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - امکان اجرای یک فایل PHP محلی دلخواه از طریق دستکاری توسط یک کاربر احراز هویت شده با اسکریپت jrest.php که در آن از پارامترهای خارجی برای تشکیل نام فایل بارگذاری شده توسط تابع "require_once ()" استفاده می شود. برای مثال، "/jrest.php?payload =alol/lol/any\..\..\...\..\any\file")
منبع: opennet.ru