Uma nova pesquisa descobriu que cerca de 12.000 dispositivos de firewall Juniper expostos à Internet são vulneráveis a uma falha de execução remota de código divulgada recentemente.
VulnCheck, que descobriu uma nova exploração para CVE-2023-36845, disse que poderia ser explorado por um “atacante remoto e não autenticado para executar código arbitrário em firewalls Juniper sem criar um arquivo no sistema”.
CVE-2023-36845 refere-se a uma falha de gravidade média no componente J-Web do Junos OS que pode ser transformada em arma por um agente ofensor para controlar certas variáveis de ambiente importantes. Essa CVE foi corrigida pela Juniper Networks no mês passado junto com CVE-2023-36844, CVE-2023-36846 e CVE-2023-36847 em uma atualização fora de ciclo.
Uma exploração de prova de conceito (PoC) subsequente desenvolvida por watchTowr combinou CVE-2023-36846 e CVE-2023-36845 para carregar um arquivo PHP contendo shellcode malicioso e obter a execução do código.
A exploração mais recente, por outro lado, afeta sistemas mais antigos e pode ser escrita usando um único comando curl. Especificamente, depende apenas do CVE-2023-36845 para atingir o mesmo objetivo.
Isso, por sua vez, é realizado usando o fluxo de entrada padrão (também conhecido como stdin) para definir a variável de ambiente PHPRC como "/dev/fd/0" por meio de uma solicitação HTTP especialmente criada, transformando efetivamente "/dev/fd/0" em um arquivo improvisado e vazar informações confidenciais.
A execução arbitrária do código é então obtida aproveitando as opções auto_prepend_file e allow_url_include do PHP em conjunto com o wrapper do protocolo data://.
Desde então, a Juniper revelou que não tem conhecimento de uma exploração bem-sucedida contra seus clientes, mas alertou que detectou tentativas de exploração, tornando imperativo que os usuários apliquem as correções necessárias para mitigar ameaças potenciais.
Comments