A JunOS operációs rendszerrel felszerelt Juniper hálózati eszközökben használt J-Web webes felületen több sebezhetőséget azonosítottak, amelyek közül a legveszélyesebb (CVE-2022-22241) lehetővé teszi kódja távoli futtatását a rendszerben anélkül, hitelesítés egy speciálisan kialakított HTTP kérés elküldésével. A Juniper berendezés felhasználóinak azt tanácsoljuk, hogy telepítsenek firmware-frissítéseket, és ha ez nem lehetséges, ügyeljenek arra, hogy a webes felülethez való hozzáférést blokkolják a külső hálózatokról, és csak megbízható gazdagépekre korlátozzák.
A sérülékenység lényege, hogy a felhasználó által átadott fájl elérési útja a /jsdm/ajax/logging_browse.php szkriptben kerül feldolgozásra anélkül, hogy az előtagot a tartalomtípussal szűrné a hitelesítés-ellenőrzés előtti szakaszban. A támadó a „Phar deserialization” támadási módszerrel (például a „filepath=phar:/path/pharfile.jpg” megadásával) továbbíthat egy rosszindulatú phar fájlt kép leple alatt, és végrehajthatja a phar archívumban található PHP-kódot. ” a kérelemben).
A probléma az, hogy egy feltöltött fájl ellenőrzésekor az is_dir() PHP függvénnyel, ez a függvény automatikusan deszerializálja a metaadatokat a Phar Archívumból a „phar://”-vel kezdődő elérési utak feldolgozása során. Hasonló hatás figyelhető meg a felhasználó által megadott fájlútvonalak feldolgozásakor a file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() és fileize() függvényekben.
A támadást bonyolítja, hogy a phar archívum végrehajtásának kezdeményezése mellett a támadónak meg kell találnia a módját annak letöltésére az eszközre (a /jsdm/ajax/logging_browse.php elérésével csak az elérési utat adhatja meg már létező fájl végrehajtása). A fájlok eszközre kerülésének lehetséges forgatókönyvei közé tartozik egy képnek álcázott phar-fájl letöltése egy képátviteli szolgáltatáson keresztül, és a fájl helyettesítése a webtartalom-gyorsítótárban.
Egyéb sebezhetőségek:
- CVE-2022-22242 – szűretlen külső paraméterek helyettesítése az error.php szkript kimenetében, amely lehetővé teszi a webhelyek közötti szkriptezést és tetszőleges JavaScript kód futtatását a felhasználó böngészőjében, amikor egy hivatkozást követ (például „https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " A biztonsági rés felhasználható a rendszergazdai munkamenet-paraméterek elfogására, ha a támadóknak sikerül rávenniük a rendszergazdát egy speciálisan kialakított hivatkozás megnyitására.
- A CVE-2022-22243, CVE-2022-22244 XPATH kifejezések helyettesítése a jsdm/ajax/wizards/setup/setup.php és /modules/monitor/interfaces/interface.php szkripteken keresztül lehetővé teszi egy jogosultság nélküli hitelesített felhasználó számára az adminisztrátori munkamenetek kezelését.
- CVE-2022-22245 Az Upload.php szkriptben feldolgozott útvonalakban a ".." szekvencia megfelelő fertőtlenítésének hiánya lehetővé teszi a hitelesített felhasználó számára, hogy feltöltse PHP fájlját egy olyan könyvtárba, amely lehetővé teszi a PHP szkriptek végrehajtását (például átadással). a "fájlnév=\. .\...\..\..\www\dir\new\shell.php" elérési út.
- CVE-2022-22246 - Tetszőleges helyi PHP-fájl-végrehajtás lehetősége a jrest.php szkript hitelesített felhasználója általi manipulációval, amelyben külső paraméterek segítségével alakítják ki a "require_once()" függvény által betöltött fájl nevét (a például "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Forrás: opennet.ru