A Juniper Networks lançou atualizações de segurança fora do ciclo regular para corrigir uma falha crítica que pode permitir o desvio de autenticação em alguns de seus roteadores.
Registrada como CVE-2024-2973, a vulnerabilidade recebeu uma pontuação CVSS de 10,0, indicando gravidade máxima.
"Uma vulnerabilidade de desvio de autenticação através de um caminho ou canal alternativo no roteador de sessão da Juniper Networks ou no Conductor em execução com um par redundante permite que um invasor em rede ignore a autenticação e assuma o controle total do dispositivo", informou a empresa em um comunicado recente.
A Juniper Networks afirmou que a falha afeta apenas roteadores ou condutores em configurações redundantes de alta disponibilidade. Os dispositivos afetados incluem:
Session Smart Router (todas as versões anteriores à 5.6.15, da 6.0 antes da 6.1.9-lts e da 6.2 antes da 6.2.5-sts)
Session Smart Conductor (todas as versões anteriores à 5.6.15, da 6.0 antes da 6.1.9-lts e da 6.2 antes da 6.2.5-sts)
WAN Assurance Router (versões 6.0 antes da 6.1.9-lts e 6.2 antes da 6.2.5-sts)
A fabricante de equipamentos de rede, adquirida pela Hewlett Packard Enterprise (HPE) por cerca de US$ 14 bilhões no início deste ano, afirmou que não encontrou evidências de exploração ativa da falha. A vulnerabilidade foi descoberta durante testes internos e não há soluções alternativas para o problema.
"Essa vulnerabilidade foi corrigida automaticamente nos dispositivos afetados para roteadores WAN Assurance gerenciados pela MIST conectados à Mist Cloud", observou a empresa. "É importante notar que a correção é aplicada automaticamente em roteadores gerenciados por um Conductor ou em roteadores de garantia de WAN, sem impacto nas funções de plano de dados do roteador."
Via - THN
Comments