Os atores de ameaças começaram a explorar quatro vulnerabilidades recentemente corrigidas no componente J-Web do Junos OS da Juniper Networks depois que o código de exploração de prova de conceito (PoC) foi publicado online.
Os problemas, rastreados como CVE-2023-36844 até CVE-2023-36847, são bugs de gravidade média que podem ser explorados para controlar variáveis de ambiente remotamente e para fazer upload de arquivos arbitrários, sem autenticação.
A Juniper Networks lançou patches para essas vulnerabilidades há dez dias, alertando que um invasor poderia encadeá-las para obter execução remota de código e classificando a exploração encadeada como “gravidade crítica”.
Os bugs, diz o fabricante de dispositivos de rede, afetam os firewalls da série SRX e os switches da série EX que executam versões do Junos OS anteriores a 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2 R3-S1, 22,3R2-S2, 22,3R3, 22,4R2-S1, 22,4R3 e 23,2R1.
De acordo com a organização sem fins lucrativos de segurança cibernética Shadowserver Foundation, a exploração dessas vulnerabilidades começou em 25 de agosto, mesmo dia em que o código de exploração PoC foi publicado.
“Desde 25 de agosto, estamos vendo tentativas de exploração de vários IPs para Juniper J-Web CVE-2023-36844 (e amigos) visando o endpoint /webauth_operation.php. No mesmo dia, um POC de exploração foi publicado. Isso envolve combinar CVEs de menor gravidade para obter RCE de pré-autenticação”, Shadowserver diz.
O Shadowserver rastreia cerca de 8.200 instâncias de interfaces J-Web expostas, a maioria delas localizadas na Ásia (5.170), seguida pela América do Norte (1.292) e Europa (1.018). Observou mais de 3.300 eventos relacionados à exploração dessas falhas.
Os ataques parecem estar relacionados à exploração PoC que a empresa de gerenciamento de superfície de ataque WatchTowr publicou em 25 de agosto junto com um análise técnica de duas dessas vulnerabilidades – nomeadamente CVE-2023-36846 e CVE-2023-36847.
Ressaltando que a exploração dessas falhas é trivial, a empresa de segurança cibernética instou os administradores a atualizarem os firewalls e switches afetados para as versões de firmware mais recentes disponíveis e a verificarem os arquivos de log PHP em seus dispositivos em busca de mensagens de erro específicas que possam indicar tentativas de invasão.
“Dada a simplicidade da exploração e a posição privilegiada que os dispositivos JunOS ocupam em uma rede, não ficaríamos surpresos em ver a exploração em grande escala”, alertou WatchTowr.