Det er identifisert flere sårbarheter i J-Web-nettgrensesnittet, som brukes i Juniper-nettverksenheter utstyrt med JunOS-operativsystemet, hvorav den farligste (CVE-2022-22241) lar deg eksternt kjøre koden din i systemet uten autentisering ved å sende en spesialdesignet HTTP-forespørsel. Brukere av Juniper-utstyr anbefales å installere fastvareoppdateringer, og hvis dette ikke er mulig, sørg for at tilgangen til nettgrensesnittet er blokkert fra eksterne nettverk og begrenset til kun klarerte verter.
Essensen av sårbarheten er at filbanen som sendes av brukeren, behandles i /jsdm/ajax/logging_browse.php-skriptet uten å filtrere prefikset med innholdstypen på stadiet før autentiseringssjekken. En angriper kan overføre en ondsinnet phar-fil under dekke av et bilde og oppnå kjøring av PHP-koden som ligger i phar-arkivet ved å bruke angrepsmetoden "Phar deserialization" (for eksempel spesifisere "filepath=phar:/path/pharfile.jpg ” i forespørselen).
Problemet er at når du sjekker en opplastet fil ved hjelp av PHP-funksjonen is_dir(), deserialiserer denne funksjonen automatisk metadataene fra Phar-arkivet når du behandler stier som starter med "phar://". En lignende effekt observeres ved behandling av brukerleverte filbaner i funksjonene file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() og filesize().
Angrepet kompliseres av det faktum at i tillegg til å starte kjøringen av phar-arkivet, må angriperen finne en måte å laste det ned til enheten (ved å gå til /jsdm/ajax/logging_browse.php kan du bare spesifisere banen til kjøre en allerede eksisterende fil). Mulige scenarier for filer som kommer inn på enheten inkluderer å laste ned en phar-fil forkledd som et bilde gjennom en bildeoverføringstjeneste og erstatte filen i nettinnholdsbufferen.
Andre sårbarheter:
- CVE-2022-22242 – erstatning av ufiltrerte eksterne parametere i utdataene til error.php-skriptet, som tillater skripting på tvers av nettsteder og kjøring av vilkårlig JavaScript-kode i brukerens nettleser når du følger en lenke (for eksempel "https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Sårbarheten kan brukes til å avskjære administratorøktparametere hvis angripere klarer å få administratoren til å åpne en spesialdesignet lenke.
- CVE-2022-22243, CVE-2022-22244 XPATH-uttrykkserstatning via jsdm/ajax/wizards/setup/setup.php og /modules/monitor/interfaces/interface.php-skript lar en uprivilegert autentisert bruker manipulere admin-sesjoner.
- CVE-2022-22245 Mangel på riktig rensing av ".."-sekvensen i stier behandlet i Upload.php-skriptet lar en autentisert bruker laste opp PHP-filen sin til en katalog som lar PHP-skript kjøres (for eksempel ved å sende banen "filnavn=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Mulighet for vilkårlig kjøring av lokal PHP-fil via manipulasjon av en autentisert bruker av jrest.php-skriptet, der eksterne parametere brukes til å danne navnet på filen som lastes av "require_once()"-funksjonen (for eksempel, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Kilde: opennet.ru