Er zijn verschillende kwetsbaarheden geïdentificeerd in de J-Web-webinterface, die wordt gebruikt in Juniper-netwerkapparaten die zijn uitgerust met het JunOS-besturingssysteem, waarvan de gevaarlijkste (CVE-2022-22241) u in staat stelt uw code op afstand in het systeem uit te voeren zonder authenticatie door het verzenden van een speciaal ontworpen HTTP-verzoek. Gebruikers van Juniper-apparatuur wordt geadviseerd om firmware-updates te installeren. Als dit niet mogelijk is, zorg er dan voor dat de toegang tot de webinterface wordt geblokkeerd voor externe netwerken en beperkt blijft tot vertrouwde hosts.
De essentie van de kwetsbaarheid is dat het door de gebruiker doorgegeven bestandspad wordt verwerkt in het script /jsdm/ajax/logging_browse.php zonder het voorvoegsel met het inhoudstype te filteren in de fase vóór de authenticatiecontrole. Een aanvaller kan een kwaadaardig phar-bestand verzenden onder het mom van een afbeelding en de uitvoering van de PHP-code in het phar-archief bewerkstelligen met behulp van de aanvalsmethode “Phar-deserialisatie” (door bijvoorbeeld “filepath=phar:/path/pharfile.jpg” op te geven). ” in het verzoek).
Het probleem is dat bij het controleren van een geüpload bestand met behulp van de PHP-functie is_dir(), deze functie automatisch de metadata uit het Phar-archief deserialiseert bij het verwerken van paden die beginnen met "phar://". Een soortgelijk effect wordt waargenomen bij het verwerken van door de gebruiker opgegeven bestandspaden in de functies file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() en filesize().
De aanval wordt gecompliceerd door het feit dat de aanvaller, naast het initiëren van de uitvoering van het phar-archief, een manier moet vinden om het naar het apparaat te downloaden (door naar /jsdm/ajax/logging_browse.php te gaan, kunt u alleen het pad opgeven naar voer een reeds bestaand bestand uit). Mogelijke scenario's waarbij bestanden op het apparaat terechtkomen, zijn onder meer het downloaden van een phar-bestand vermomd als afbeelding via een beeldoverdrachtservice en het vervangen van het bestand in de webinhoudcache.
Andere kwetsbaarheden:
- CVE-2022-22242 – vervanging van ongefilterde externe parameters in de uitvoer van het error.php-script, waardoor cross-site scripting en uitvoering van willekeurige JavaScript-code in de browser van de gebruiker mogelijk is bij het volgen van een link (bijvoorbeeld “https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Het beveiligingslek kan worden gebruikt om sessieparameters van beheerders te onderscheppen als aanvallers erin slagen de beheerder een speciaal ontworpen link te laten openen.
- Met CVE-2022-22243, CVE-2022-22244 XPATH-expressievervanging via jsdm/ajax/wizards/setup/setup.php en /modules/monitor/interfaces/interface.php scripts kan een niet-bevoorrechte, geverifieerde gebruiker beheerderssessies manipuleren.
- CVE-2022-22245 Door een gebrek aan correcte opschoning van de ".."-reeks in paden die worden verwerkt in het Upload.php-script, kan een geverifieerde gebruiker zijn of haar PHP-bestand uploaden naar een map waarin PHP-scripts kunnen worden uitgevoerd (bijvoorbeeld door het pad "bestandsnaam=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Mogelijkheid tot willekeurige uitvoering van een lokaal PHP-bestand via manipulatie door een geverifieerde gebruiker van het jrest.php-script, waarbij externe parameters worden gebruikt om de naam te vormen van het bestand dat is geladen door de functie "require_once()" (voor bijvoorbeeld "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Bron: opennet.ru