JunOS와 함께 제공되는 Juniper 네트워크 장치의 웹 인터페이스 취약성

JunOS 운영 체제가 탑재된 Juniper 네트워크 장치에 사용되는 J-Web 웹 인터페이스에서 여러 가지 취약점이 확인되었습니다. 이 중 가장 위험한 취약점(CVE-2022-22241)은 사용자가 없이 시스템에서 원격으로 코드를 실행할 수 있게 해줍니다. 특별히 설계된 HTTP 요청을 전송하여 인증합니다. Juniper 장비 사용자는 펌웨어 업데이트를 설치하는 것이 좋습니다. 이것이 가능하지 않은 경우 웹 인터페이스에 대한 액세스가 외부 네트워크에서 차단되고 신뢰할 수 있는 호스트로만 제한되는지 확인하십시오.

취약점의 본질은 인증검사 전 단계에서 접두사를 콘텐츠 형식으로 필터링하지 않고 /jsdm/ajax/logging_browse.php 스크립트에서 사용자가 전달한 파일 경로를 처리한다는 점이다. 공격자는 이미지를 가장하여 악성 phar 파일을 전송하고 "Phar deserialization" 공격 방법(예: "filepath=phar:/path/pharfile.jpg 지정)을 사용하여 phar 아카이브에 있는 PHP 코드를 실행할 수 있습니다. "라고 요청합니다.)

문제는 PHP 함수 is_dir()을 사용하여 업로드된 파일을 확인할 때 이 함수가 "phar://"로 시작하는 경로를 처리할 때 Phar Archive의 메타데이터를 자동으로 역직렬화한다는 것입니다. file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() 및 filesize() 함수에서 사용자 제공 파일 경로를 처리할 때 유사한 효과가 관찰됩니다.

공격자는 phar 아카이브 실행을 시작하는 것 외에도 이를 장치에 다운로드할 수 있는 방법을 찾아야 한다는 점에서 공격이 복잡합니다(/jsdm/ajax/logging_browse.php에 액세스하여 경로만 지정할 수 있음). 이미 존재하는 파일을 실행합니다). 장치에 파일을 가져오는 가능한 시나리오에는 이미지 전송 서비스를 통해 이미지로 위장한 phar 파일을 다운로드하고 해당 파일을 웹 콘텐츠 캐시에 대체하는 것이 포함됩니다.

기타 취약점:

• CVE-2022-22242 – error.php 스크립트 출력에서 ​​필터링되지 않은 외부 매개변수를 대체합니다. 이를 통해 링크를 따라갈 때 사용자 브라우저에서 크로스 사이트 스크립팅 및 임의 JavaScript 코드 실행이 가능합니다(예: “https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " 공격자가 관리자가 특별히 설계된 링크를 열도록 유도하는 경우 이 취약점을 사용하여 관리자 세션 매개 변수를 가로챌 수 있습니다.
• CVE-2022-22243, CVE-2022-22244 jsdm/ajax/wizards/setup/setup.php 및 /modules/monitor/interfaces/interface.php 스크립트를 통한 XPATH 표현식 대체를 통해 권한이 없는 인증된 사용자가 관리 세션을 조작할 수 있습니다.
• CVE-2022-22245 Upload.php 스크립트에서 처리되는 경로의 ".." 시퀀스가 ​​제대로 삭제되지 않아 인증된 사용자가 PHP 스크립트를 실행할 수 있는 디렉터리에 PHP 파일을 업로드할 수 있습니다(예: 다음을 전달). 경로 "파일 이름=\. .\..\..\..\www\dir\new\shell.php").
• CVE-2022-22246 - jrest.php 스크립트의 인증된 사용자에 의한 조작을 통해 임의의 로컬 PHP 파일이 실행될 가능성이 있습니다. 여기서 외부 매개변수는 "require_once()" 함수에 의해 로드된 파일의 이름을 형성하는 데 사용됩니다(예: 예: "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")

출처 : opennet.ru