Մի քանի խոցելիություններ են հայտնաբերվել J-Web վեբ ինտերֆեյսում, որն օգտագործվում է JunOS օպերացիոն համակարգով հագեցած Juniper ցանցային սարքերում, որոնցից ամենավտանգավորը (CVE-2022-22241) թույլ է տալիս հեռակա կարգով կատարել ձեր կոդը համակարգում՝ առանց նույնականացում՝ ուղարկելով հատուկ մշակված HTTP հարցում: Juniper սարքավորումների օգտագործողներին խորհուրդ է տրվում տեղադրել որոնվածի թարմացում, և եթե դա հնարավոր չէ, համոզվեք, որ վեբ ինտերֆեյսի մուտքն արգելափակված է արտաքին ցանցերից և սահմանափակվում է միայն վստահելի հոսթորդներով:
Խոցելիության էությունն այն է, որ օգտատիրոջ անցած ֆայլի ուղին մշակվում է /jsdm/ajax/logging_browse.php սկրիպտում՝ առանց նույնականացման ստուգման փուլում նախածանցը բովանդակության տեսակի հետ զտելու: Հարձակվողը կարող է չարամիտ phar ֆայլ փոխանցել պատկերի քողի տակ և հասնել ֆարարխիվում տեղադրված PHP կոդի գործարկմանը, օգտագործելով «Phar deserialization» հարձակման մեթոդը (օրինակ՝ նշելով «filepath=phar:/path/pharfile»: .jpg» խնդրանքում):
Խնդիրն այն է, որ PHP-ի is_dir() ֆունկցիայով վերբեռնված ֆայլը ստուգելիս այս ֆունկցիան ավտոմատ կերպով ապասերիալացնում է մետատվյալները Phar արխիվից (PHP Archive) «phar://»-ով սկսվող ուղիները մշակելիս։ Նմանատիպ էֆեկտ է նկատվում, երբ մշակվում են օգտագործողի կողմից տրամադրված ֆայլերի ուղիները file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime(), և filesize() ֆունկցիաներում:
Հարձակումը բարդանում է նրանով, որ բացի ֆարարխիվի գործարկումը սկսելուց, հարձակվողը պետք է գտնի այն սարքում ներբեռնելու միջոց (մուտք գործելով /jsdm/ajax/logging_browse.php, կարող եք նշել միայն ուղին գոյություն ունեցող ֆայլի կատարում): Սարքի վրա ֆայլերի հայտնվելու հնարավոր սցենարներից նշվում է պատկերի քողի տակ phar ֆայլի բեռնումը պատկերի փոխանցման ծառայության միջոցով և ֆայլը վեբ բովանդակության քեշի մեջ փոխարինելը:
Այլ խոցելիություններ.
- CVE-2022-22242 - չզտված արտաքին պարամետրերի փոխարինում error.php սկրիպտի ելքում, որը թույլ է տալիս միջկայքային սկրիպտավորում և կամայական JavaScript կոդի կատարում օգտատիրոջ զննարկիչում՝ հղման վրա սեղմելիս (օրինակ՝ «https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) «. Խոցելիությունը կարող է օգտագործվել ադմինիստրատորի նստաշրջանի պարամետրերը կասեցնելու համար, եթե հարձակվողին հաջողվի ստիպել ադմինիստրատորին բացել հատուկ մշակված հղումը:
- CVE-2022-22243, СVE-2022-22244 - XPATH արտահայտությունների փոխարինում jsdm/ajax/wizards/setup/setup.php և /modules/monitor/interfaces/interface.php սկրիպտների միջոցով, թույլ է տալիս չարտոնյալ ադմինիստրատորի կողմից մանիպուլյացիայի ենթարկված վավերական սեսիան:
- CVE-2022-22245 - Upload.php սկրիպտում մշակված ուղիներում «..» հաջորդականությունը պատշաճ կերպով մաքրելու ձախողումը թույլ է տալիս վավերացված օգտվողին վերբեռնել իր PHP ֆայլը գրացուցակ, որը թույլ է տալիս կատարել PHP սկրիպտներ (օրինակ՝ ըստ անցնելով «fileName=\. .\..\..\..\www\dir\new\shell.php» ուղին:
- CVE-2022-22246 - կամայական տեղական PHP ֆայլ գործարկելու ունակություն jrest.php սկրիպտի վավերացված օգտագործողի կողմից մանիպուլյացիայի միջոցով, որում արտաքին պարամետրերն օգտագործվում են «require_once ()» գործառույթով բեռնված ֆայլի անունը ձևավորելու համար ( օրինակ՝ «/jrest.php? payload =alol/lol/any\..\..\...\..\any\file»)
Source: opennet.ru