Juniper製ネットワーク機器のウェブ管理画面に深刻な脆弱性
Juniper Networksが提供するファイアウォール「SRXシリーズ」やスイッチ「EXシリーズ」にリモートより認証なしにコードを実行できる脆弱性が明らかとなった。
両シリーズに実装されている「Junos OS」のウェブ管理インタフェース「J-web」に域外メモリへ書き込む脆弱性「CVE-2024-21591」が判明したもの。現地時間1月10日にセキュリティアドバイザリを公開した。悪用は確認されていないという。
認証を必要とすることなくネットワーク経由で攻撃が可能で、悪用されるとリモートよりコードを実行され、root権限を取得されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
同社は、「Junos OS 23.4R1」「同23.2R2」「同23.2R1-S1」「同22.4R3」「同22.4R2-S2」「同22.3R3-S2」「同22.2R3-S3」「同22.1R3-S4」「同21.4R3-S5」「同21.3R3-S5」「同21.2R3-S7」「同20.4R3-S9」にて同脆弱性を修正した。
また回避策として「J-Web」を無効化するか、アクセスを信頼できるホストに制限することを挙げている。
(Security NEXT - 2024/01/16 )
ツイート
PR
関連記事
先週注目された記事(2026年3月29日〜2026年4月4日)
「MS Edge」にセキュリティ更新 - KEV登録済みゼロデイ脆弱性を修正
「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を
委託事業者間でデータ誤送信、ファイル内に無関係の個人情報 - 大阪市
サーバに不正アクセス、影響など調査中 - ムーンスター
県内14警察署で文書誤廃棄、DVやストーカー関連も - 宮城県警
委託先で調査関連データ含むUSBメモリが所在不明 - 精華町
NEC製ルータ「Aterm」シリーズに脆弱性 - 21モデルに影響
予約管理システムの管理者アカウントに不正アクセス - ホテルプリンセス京都
2027年度に情報処理技術者試験を再編、「データマネジメント試験」新設へ
