JunOS オペレーティング システムを搭載したジュニパー ネットワーク デバイスで使用される J-Web Web インターフェイスでいくつかの脆弱性が確認されました。その中で最も危険な脆弱性 (CVE-2022-22241) では、システム内のコードをリモートで実行できます。特別に設計された HTTP リクエストを送信することによる認証。ジュニパー機器のユーザーは、ファームウェアのアップデートをインストールすることをお勧めします。これが不可能な場合は、Web インターフェイスへのアクセスが外部ネットワークからブロックされ、信頼できるホストのみに制限されていることを確認してください。
この脆弱性の本質は、ユーザーによって渡されたファイル パスが、認証チェックの前の段階でコンテンツ タイプのプレフィックスをフィルタリングせずに、/jsdm/ajax/logging_browse.php スクリプト内で処理されることです。攻撃者は、イメージを装って悪意のある phar ファイルを送信し、「Phar 逆シリアル化」攻撃方法 (たとえば、「filepath=phar:/path/pharfile.jpg」を指定する) を使用して、phar アーカイブにある PHP コードを実行することができます。 」とリクエストに記載されています)。
問題は、PHP 関数 is_dir() を使用してアップロードされたファイルをチェックするときに、この関数が「phar://」で始まるパスを処理するときに Phar アーカイブからのメタデータを自動的に逆シリアル化することです。 file_get_contents()、fopen()、file()、file_exists()、md5_file()、filemtime()、および filesize() 関数でユーザーが指定したファイル パスを処理するときにも、同様の影響が観察されます。
この攻撃は、phar アーカイブの実行を開始することに加えて、攻撃者がそれをデバイスにダウンロードする方法を見つける必要があるという事実によって複雑になります (/jsdm/ajax/logging_browse.php にアクセスすることによって、パスを指定することしかできません)。既存のファイルを実行します)。ファイルがデバイスに侵入するシナリオとしては、画像転送サービスを通じて画像に偽装された phar ファイルをダウンロードし、Web コンテンツ キャッシュ内のファイルを置き換えるなどのシナリオが考えられます。
その他の脆弱性:
- CVE-2022-22242 - error.php スクリプトの出力におけるフィルターされていない外部パラメーターの置換。これにより、リンク (例: 「https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) 」攻撃者が管理者に特別に設計されたリンクを開かせることができた場合、この脆弱性を利用して管理者のセッション パラメータが傍受される可能性があります。
- CVE-2022-22243、CVE-2022-22244 jsdm/ajax/wizards/setup/setup.php および /modules/monitor/interfaces/interface.php スクリプトによる XPATH 式置換により、特権のない認証済みユーザーが管理セッションを操作できるようになります。
- CVE-2022-22245 Upload.php スクリプトで処理されるパス内の「..」シーケンスが適切にサニタイズされていないため、認証されたユーザーが PHP スクリプトの実行を許可するディレクトリに PHP ファイルをアップロードできます (たとえば、パス「fileName=\. .\..\..\..\www\dir\new\shell.php」)。
- CVE-2022-22246 - jrest.php スクリプトの認証されたユーザーによる操作により、任意のローカル PHP ファイルが実行される可能性があります。このスクリプトでは、「require_once()」関数によってロードされるファイルの名前を形成するために外部パラメータが使用されます (例: "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
出所: オープンネット.ru