Ar JunOS operētājsistēmu aprīkotajās Juniper tīkla ierīcēs izmantotajā J-Web tīmekļa saskarnē konstatētas vairākas ievainojamības, no kurām bīstamākā (CVE-2022-22241) ļauj attālināti izpildīt savu kodu sistēmā bez autentifikācija, nosūtot īpaši izstrādātu HTTP pieprasījumu. Juniper aprīkojuma lietotājiem ieteicams instalēt programmaparatūras atjauninājumus un, ja tas nav iespējams, nodrošināt, ka piekļuve tīmekļa saskarnei ir bloķēta no ārējiem tīkliem un tikai uzticamiem saimniekiem.
Ievainojamības būtība ir tāda, ka lietotāja nodotais faila ceļš tiek apstrādāts skriptā /jsdm/ajax/logging_browse.php, nefiltrējot prefiksu ar satura tipu posmā pirms autentifikācijas pārbaudes. Uzbrucējs var pārsūtīt ļaunprātīgu phar failu, aizsedzoties ar attēlu, un panākt PHP koda izpildi, kas atrodas phar arhīvā, izmantojot uzbrukuma metodi “Phar deserialization” (piemēram, norādot “filepath=phar:/path/pharfile.jpg ” pieprasījumā).
Problēma ir tāda, ka, pārbaudot augšupielādētu failu, izmantojot PHP funkciju is_dir(), šī funkcija automātiski deserializē metadatus no Phar arhīva, apstrādājot ceļus, kas sākas ar “phar://”. Līdzīgs efekts tiek novērots, apstrādājot lietotāja nodrošinātos failu ceļus funkcijās file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() un fileize().
Uzbrukumu sarežģī fakts, ka papildus phar arhīva izpildes uzsākšanai uzbrucējam ir jāatrod veids, kā to lejupielādēt ierīcē (piekļūstot /jsdm/ajax/logging_browse.php, jūs varat norādīt tikai ceļu uz izpildīt jau esošu failu). Iespējamie scenāriji failu nokļūšanai ierīcē ietver phar faila lejupielādi, kas ir maskēta kā attēls, izmantojot attēlu pārsūtīšanas pakalpojumu, un faila aizstāšanu tīmekļa satura kešatmiņā.
Citas ievainojamības:
- CVE-2022-22242 – nefiltrētu ārējo parametru aizstāšana error.php skripta izvadē, kas ļauj veikt starpvietņu skriptēšanu un izpildīt patvaļīgu JavaScript kodu lietotāja pārlūkprogrammā, sekojot saitei (piemēram, “https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Ievainojamību var izmantot, lai pārtvertu administratora sesijas parametrus, ja uzbrucējiem izdosies panākt, lai administrators atver īpaši izstrādātu saiti.
- CVE-2022-22243, CVE-2022-22244 XPATH izteiksmes aizstāšana, izmantojot skriptus jsdm/ajax/wizards/setup/setup.php un /modules/monitor/interfaces/interface.php, ļauj nepievilinātam autentificētam lietotājam manipulēt ar administratora sesijām.
- CVE-2022-22245 Secības ".." pareizas sanitārijas trūkums Upload.php skriptā apstrādātajos ceļos ļauj autentificētam lietotājam augšupielādēt savu PHP failu direktorijā, kas ļauj izpildīt PHP skriptus (piemēram, nododot ceļš "faila nosaukums=\. .\...\..\..\www\dir\new\shell.php").
- CVE-2022-22246 — iespēja patvaļīgi izpildīt lokālo PHP failu, manipulējot ar autentificētu skripta jrest.php lietotāju, kurā ārējie parametri tiek izmantoti, lai izveidotu faila nosaukumu, ko ielādē funkcija "require_once()" (par piemēram, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Avots: opennet.ru