Juniper製ネットワーク機器のウェブ管理画面に深刻な脆弱性
Juniper Networksが提供するファイアウォール「SRXシリーズ」やスイッチ「EXシリーズ」にリモートより認証なしにコードを実行できる脆弱性が明らかとなった。
両シリーズに実装されている「Junos OS」のウェブ管理インタフェース「J-web」に域外メモリへ書き込む脆弱性「CVE-2024-21591」が判明したもの。現地時間1月10日にセキュリティアドバイザリを公開した。悪用は確認されていないという。
認証を必要とすることなくネットワーク経由で攻撃が可能で、悪用されるとリモートよりコードを実行され、root権限を取得されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
同社は、「Junos OS 23.4R1」「同23.2R2」「同23.2R1-S1」「同22.4R3」「同22.4R2-S2」「同22.3R3-S2」「同22.2R3-S3」「同22.1R3-S4」「同21.4R3-S5」「同21.3R3-S5」「同21.2R3-S7」「同20.4R3-S9」にて同脆弱性を修正した。
また回避策として「J-Web」を無効化するか、アクセスを信頼できるホストに制限することを挙げている。
(Security NEXT - 2024/01/16 )
ツイート
PR
関連記事
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正
監視ツール「Barracuda RMM」に深刻な複数脆弱性 - アップデートを
「Apache Struts」にDoS脆弱性 - ディスク領域枯渇のおそれ
「Node.js」にセキュリティアップデート - 12月15日に公開予定
成人の日記念行事の案内ハガキを紛失 - 福岡市
患者の個人情報含む書類をFAXで誤送信 - 千葉労災病院
ネットワーク侵害を確認、詳細を調査 - テーオーシー
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
