Một số lỗ hổng đã được xác định trong giao diện web J-Web, được sử dụng trong các thiết bị mạng Juniper được trang bị hệ điều hành JunOS, trong đó nguy hiểm nhất (CVE-2022-22241) cho phép bạn thực thi mã của mình từ xa trong hệ thống mà không cần xác thực bằng cách gửi yêu cầu HTTP được thiết kế đặc biệt. Người dùng thiết bị Juniper nên cài đặt các bản cập nhật chương trình cơ sở và nếu không thể thực hiện được, hãy đảm bảo rằng quyền truy cập vào giao diện web bị chặn từ các mạng bên ngoài và chỉ giới hạn ở các máy chủ đáng tin cậy.
Bản chất của lỗ hổng là đường dẫn tệp mà người dùng truyền qua được xử lý trong tập lệnh /jsdm/ajax/logging_browse.php mà không lọc tiền tố với loại nội dung ở giai đoạn trước khi kiểm tra xác thực. Kẻ tấn công có thể truyền tệp phar độc hại dưới vỏ bọc hình ảnh và thực thi mã PHP nằm trong kho lưu trữ phar bằng phương pháp tấn công “Phar deserialization” (ví dụ: chỉ định “filepath=phar:/path/pharfile.jpg ” trong yêu cầu).
Vấn đề là khi kiểm tra tệp đã tải lên bằng hàm PHP is_dir(), hàm này sẽ tự động giải tuần tự hóa siêu dữ liệu từ Lưu trữ Phar khi xử lý các đường dẫn bắt đầu bằng “phar://”. Một hiệu ứng tương tự cũng được quan sát thấy khi xử lý các đường dẫn tệp do người dùng cung cấp trong các hàm file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() và filesize().
Cuộc tấn công phức tạp bởi ngoài việc bắt đầu thực thi kho lưu trữ phar, kẻ tấn công phải tìm cách tải nó xuống thiết bị (bằng cách truy cập /jsdm/ajax/logging_browse.php, bạn chỉ có thể chỉ định đường dẫn đến thực thi một tập tin đã tồn tại). Các tình huống có thể xảy ra để tệp truy cập vào thiết bị bao gồm tải xuống tệp phar được ngụy trang dưới dạng hình ảnh thông qua dịch vụ truyền hình ảnh và thay thế tệp đó trong bộ nhớ đệm nội dung web.
Các lỗ hổng khác:
- CVE-2022-22242 – thay thế các tham số bên ngoài chưa được lọc trong đầu ra của tập lệnh error.php, cho phép tạo tập lệnh chéo trang và thực thi mã JavaScript tùy ý trong trình duyệt của người dùng khi theo một liên kết (ví dụ: “https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Lỗ hổng này có thể được sử dụng để chặn các tham số phiên của quản trị viên nếu kẻ tấn công cố gắng yêu cầu quản trị viên mở một liên kết được thiết kế đặc biệt.
- CVE-2022-22243, CVE-2022-22244 Thay thế biểu thức XPATH thông qua các tập lệnh jsdm/ajax/wizards/setup/setup.php và /modules/monitor/interfaces/interface.php cho phép người dùng được xác thực không có đặc quyền thao tác các phiên quản trị.
- CVE-2022-22245 Thiếu việc dọn dẹp thích hợp chuỗi ".." trong các đường dẫn được xử lý trong tập lệnh Upload.php cho phép người dùng được xác thực tải tệp PHP của họ lên một thư mục cho phép các tập lệnh PHP được thực thi (ví dụ: bằng cách chuyển đường dẫn "fileName=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Khả năng thực thi tệp PHP cục bộ tùy ý thông qua thao tác của người dùng đã được xác thực của tập lệnh jrest.php, trong đó các tham số bên ngoài được sử dụng để tạo thành tên của tệp được tải bởi hàm "require_once()" (dành cho ví dụ: "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Nguồn: opennet.ru