Codeschmuggel in Juniper JunOS: Weltweit tausende Geräte betroffen
Ist auf einer Firewall der SRX-Serie oder einem Switch der EX-Reihe das Web-Management-Interface aktiviert, drohen Angriffe. Juniper hat Updates in petto.
(Bild: momente/Shutterstock.com)
Bereits in der letzten Woche hatte Juniper mehr als zwei Dutzend teils kritische Sicherheitslücken in ihren Produkten gemeldet. Für eines der Probleme – eine Codeschmuggel-Lücke im J-Web-Interface – sind nun weitere Details ans Licht gekommen.
Juniper nennt als mögliche Auswirkungen der Lücke, dass die Geräte eingeschleusten Programmcode ausführen, Angreifer sich gar Root-Rechte verschaffen können oder die Appliances ihren Dienst verweigern. Weder müssen Nutzer ausgetrickst werden, noch andere Vorbedingungen erfüllt sein, Angriffe gelingen über das Netz. Dementsprechend fällt die Risikoeinschätzung verheerend aus: Die Sicherheitslücke mit CVE-ID CVE-2024-21591 erhält 9,8 von 10 CVSS-Punkten nach dem aktuellen Berechnungsschema 3.1. Im alten Schema 3.0 wäre der "Highscore" von zehn Punkten fällig gewesen. Die Sicherheitslücke ist somit kritisch.
Eine ganze Reihe verschiedener JunOS-Versionen ist anfällig, jedoch nur auf SRX- und EX-Geräten:
- Alle Junos-OS-Versionen 20.4R3-S9,
- Junos OS 21.2 vor Version 21.2R3-S7,
- Junos OS 21.3 vor Version 21.3R3-S5,
- Junos OS 21.4 vor Version 21.4R3-S5,
- Junos OS 22.1 vor Version 22.1R3-S4,
- Junos OS 22.2 vor Version 22.2R3-S3,
- Junos OS 22.3 vor Version 22.3R3-S2 und
- Junos OS 22.4 vor Version 22.4R2-S2, 22.4R3.
Wer ein Gerät mit den oben genannten Softwareständen betreibt, sollte zügig patchen. Juniper stellt Software-Flicken bereit, die die jeweils letztgenannten Versionsnummern in der obigen Liste tragen und liefert weitere Informationen im Support-Portal. Wer nicht patchen kann oder gar eine so alte Version einsetzt, dass keine Patches mehr zur Verfügung stehen, möge das Webinterface J-Web entweder abschalten oder Zugriffe auf garantiert vertrauenswürdige Hosts einschränken.
Online-Erhebung ergibt über 11.000 betroffene Geräte
Dass uralte Juniper-Geräte ein ernstes Problem sind, ergab eine internetweite Untersuchung von Censys. Über dreitausend anfällige Geräte trugen die Typbezeichnung SRX110H2-VA – das Gerät wird März 2022 nicht mehr mit Updates versorgt.
Insgesamt waren am vergangenen Donnerstag, dem 11. Januar, über 11.500 J-Web-Interfaces über das Internet erreichbar, die meisten auf den Standard-Ports 443, 80 und 8080. Nicht alle dieser Geräte dürften jedoch verwundbar sein. Juniper-Geräte mit zugänglichem Webinterface fanden sich zum größten Teil in Asien, aber auch in den Vereinigten Staaten und immerhin 153-mal in Deutschland.
Junipers neuer Eigentümer lautet seit letzter Woche HPE. Der texanische Konzern schickt sich damit an, den Marktführer im Netzwerksegment Cisco vom Thron zu stoßen. Da dürften kritische Sicherheitslücken für wenig Freude bei Aktionären und Aufsichtsrat sorgen, bergen sie mitunter doch ein nicht unerhebliches Haftungspotential.
(cku)
