Juniper tīkla ierīcēs, kurās darbojas JunOS operētājsistēma, izmantotajā J-Web tīmekļa saskarnē ir konstatētas vairākas ievainojamības. Visnopietnākā no tām (CVE-2022-22241) ļauj attāliem, neautentificētiem uzbrucējiem izpildīt patvaļīgu kodu, nosūtot speciāli izveidotu HTTP pieprasījumu. Juniper iekārtu lietotājiem ieteicams instalēt jaunāko programmaparatūras atjauninājumu vai, ja tas nav iespējams, nodrošināt, ka piekļuve tīmekļa saskarnei ir bloķēta no ārējiem tīkliem un ierobežota tikai uzticamiem resursdatoriem.
Ievainojamība rodas no tā, ka lietotāja norādītais faila ceļš tiek apstrādāts skriptā /jsdm/ajax/logging_browse.php, nefiltrējot satura tipa prefiksu pirms autentifikācijas. Uzbrucējs var nosūtīt ļaunprātīgu phar failu, kas maskēts kā attēls, un izpildīt PHP kodu, kas ietverts phar arhīvā, izmantojot uzbrukuma metodi "Phar deserializācija" (piemēram, pieprasījumā norādot "filepath=phar:/path/pharfile.jpg").
Problēma ir tā, ka, pārbaudot augšupielādētu failu, izmantojot PHP funkciju is_dir(), šī funkcija automātiski deserializē metadatus no Phar arhīva (PHP Archive), apstrādājot ceļus, kas sākas ar "phar://". Līdzīgs efekts tiek novērots, apstrādājot lietotāja norādītos failu ceļus funkcijās file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() un filesize().
Uzbrukumu sarežģī fakts, ka papildus phar arhīva izpildes uzsākšanai uzbrucējam ir jāatrod veids, kā to lejupielādēt ierīcē (izsaucot /jsdm/ajax/logging_browse.php, var norādīt tikai esoša faila izpildes ceļu). Iespējamie scenāriji failu iegūšanai ierīcē ietver phar faila lejupielādi kā attēlu, izmantojot attēlu pārsūtīšanas pakalpojumu, un faila ievietošanu tīmekļa satura kešatmiņā.
Citas ievainojamības:
- CVE-2022-22242 — Nefiltrētu ārējo parametru aizstāšana error.php skripta izvadē ļauj veikt starpvietņu skriptēšanu un patvaļīga JavaScript koda izpildi lietotāja pārlūkprogrammā, noklikšķinot uz saites (piemēram, "https://JUNOS_IP/error.php?SERVER_NAME=" alert(0) "Šo ievainojamību var izmantot, lai pārtvertu administratora sesijas parametrus, ja uzbrucējiem izdodas panākt, lai administrators atvērtu speciāli izveidotu saiti."
- CVE-2022-22243, CVE-2022-22244 — XPATH izteiksmes aizstāšana jsdm/ajax/wizards/setup/setup.php un /modules/monitor/interfaces/interface.php skriptos ļauj neprivileģētam autentificētam lietotājam manipulēt ar administratora sesijām.
- CVE-2022-22245 — Nepareiza ".." secības attīrīšana ceļos, ko apstrādā skripts Upload.php, ļauj autentificētam lietotājam augšupielādēt savu PHP failu direktorijā, kas atļauj PHP skripta izpildi (piemēram, nododot ceļu "fileName=\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 — Autentificētam lietotājam manipulējot ar jrest.php skriptu, ir iespējams izpildīt patvaļīgu lokālu PHP failu, kurā ārējie parametri tiek izmantoti, lai veidotu faila nosaukumu, ko ielādē funkcija "require_once()" (piemēram, "/jrest.php?payload=alol/lol/any\..\..\..\..\any\file")
Avots: opennet.ru
