Nokkrir veikleikar hafa fundist í J-Web vefviðmótinu, sem er notað í Juniper netbúnaði með JunOS stýrikerfinu, en hættulegastur þeirra (CVE-2022-22241) gerir þér kleift að keyra kóðann þinn í fjarstýringu í kerfinu án þess að auðkenningu með því að senda sérhönnuð HTTP beiðni. Notendum Juniper búnaðar er bent á að setja upp vélbúnaðaruppfærslur og ef það er ekki mögulegt, tryggja að aðgangur að vefviðmótinu sé lokaður frá ytri netum og takmarkaður við trausta gestgjafa.
Kjarninn í varnarleysinu er að skráarslóðin sem notandinn sendir er unnin í /jsdm/ajax/logging_browse.php forskriftinni án þess að sía forskeytið með innihaldsgerðinni á stigi fyrir auðkenningarathugun. Árásarmaður getur sent skaðlega phar skrá í skjóli myndar og náð fram keyrslu á PHP kóðanum sem staðsettur er í phar skjalasafninu með því að nota „Phar deserialization“ árásaraðferðina (til dæmis með því að tilgreina „filepath=phar:/path/pharfile.jpg “ í beiðninni).
Vandamálið er að þegar þú skoðar upphlaðna skrá með því að nota PHP aðgerðina is_dir(), afserrar þessi aðgerð sjálfkrafa lýsigögnin úr Phar Archive þegar unnið er úr slóðum sem byrja á „phar://“. Svipuð áhrif sjást þegar unnið er úr skráarslóðum frá notanda í file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() og filesize() aðgerðunum.
Árásin er flókin vegna þess að auk þess að hefja framkvæmd phar skjalasafnsins verður árásarmaðurinn að finna leið til að hlaða því niður í tækið (með því að opna /jsdm/ajax/logging_browse.php geturðu aðeins tilgreint slóðina að keyra skrá sem þegar er til). Mögulegar aðstæður fyrir að skrár komist inn í tækið eru að hlaða niður phar-skrá dulbúin sem mynd í gegnum myndaflutningsþjónustu og skipta út skránni í skyndiminni vefefnisins.
Aðrir veikleikar:
- CVE-2022-22242 – skipting á ósíuðum utanaðkomandi breytum í úttak error.php skriftunnar, sem gerir kleift að skrifa forskriftir á milli vefsvæða og keyra handahófskenndan JavaScript kóða í vafra notandans þegar tengli er fylgt (til dæmis „https:// JUNOS_IP/error.php?SERVER_NAME= alert(0)". Varnarleysið er hægt að nota til að stöðva færibreytur stjórnandalotu ef árásarmönnum tekst að fá stjórnandann til að opna sérhannaðan tengil.
- CVE-2022-22243, CVE-2022-22244 XPATH tjáningarskipti í gegnum jsdm/ajax/wizards/setup/setup.php og /modules/monitor/interfaces/interface.php forskriftir leyfa auðkenndum notanda án forréttinda að vinna með stjórnunarlotur.
- CVE-2022-22245 Skortur á réttri hreinsun á ".." röðinni í slóðum sem unnar eru í Upload.php forskriftinni gerir auðvottaðum notanda kleift að hlaða upp PHP skránni sinni í möppu sem gerir kleift að keyra PHP forskriftir (til dæmis með því að fara framhjá slóðina "skráarnafn=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Möguleiki á handahófskenndri staðbundinni PHP skrá keyrslu með því að nota sannvottaðan notanda á jrest.php forskriftinni, þar sem ytri færibreytur eru notaðar til að mynda nafn skráarinnar sem hlaðið er af "require_once()" aðgerðinni (fyrir dæmi, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Heimild: opennet.ru