แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ RCE ระดับ critical ของ Juniper หลังจาก PoC ถูกปล่อยออกมา

Juniper

แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ critical เพื่อมุ่งเป้าการโจมตีไปยัง Juniper EX switches และไฟร์วอลล์ SRX ผ่านทาง J-Web configuration interface ที่เข้าถึงได้จากอินเทอร์เน็ต

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตซ์ได้

ด้วย request ที่ไม่ต้องผ่านการ authentication ผู้โจมตีสามารถอัปโหลดไฟล์ผ่าน J-Web ซึ่งอาจนำไปสู่การทำงานที่ไม่ถูกต้องของระบบไฟล์บางส่วน ซึ่งอาจทำให้สามารถนำไปใช้ร่วมกับการโจมตีโดยใช้ช่องโหว่อื่น ๆ ได้

หนึ่งสัปดาห์หลังจากที่ Juniper เปิดเผยรายละเอียดช่องโหว่ และเผยแพร่แพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สี่รายการที่สามารถใช้ร่วมกันในการโจมตีที่ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ นักวิจัยด้านความปลอดภัยของ watchTowr Labs จึงได้เผยแพร่ Proof- of-Concept (PoC) ของช่องโหว่ในไฟร์วอลล์ SRX (หมายเลข CVE-2023-36846 และ CVE-2023-36845) ออกมา

ในขณะนั้น Juniper ระบุว่าไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ watchTowr Labs ระบุว่าเร็ว ๆ นี้คาดว่าผู้โจมตีจะเริ่มมุ่งเป้าหมายการโจมตีไปยังอุปกรณ์ Juniper ที่ยังไม่ได้รับการอัปเดตแพตซ์

ตามที่คาดไว้ นักวิจัยด้านความปลอดภัยจากองค์กรรักษาความปลอดภัยทางอินเทอร์เน็ต Shadowserver Foundation เปิดเผยในวันนี้ว่า (29 สิงหาคม 2023) ตรวจพบความพยายามในการโจมตีวันเดียวกับที่ watchTowr Labs เผยแพร่ PoC ออกมา

"นับตั้งแต่วันที่ 25 สิงหาคม 2023 เป็นต้นมา พบความพยายามในการโจมตีจากหลาย IP สำหรับช่องโหว่ใน Juniper J-Web CVE-2023-36844 (และช่องโหว่ที่เกี่ยวข้องกัน) ที่กำหนดเป้าหมายไปที่ /webauth_operation.php" Shadowserver Foundation ทวีตเมื่อวันอังคารที่ผ่านมา

Juniper exploitation attempts

Piotr Kijewski ซีอีโอของ Shadowserver ยืนยันกับ BleepingComputer ว่าผู้โจมตีใช้เครื่องมือการโจมตีที่สร้างโดยใช้ PoC ของ watchTowr Labs เป็นจุดเริ่มต้น

"จากการสังเกตการณ์บน Honeypot อินสแตนซ์ของ Juniper ทั้งหมด ที่มี J-Web ที่เข้าถึงได้จากอินเทอร์เน็ตนั้น ถูกโจมตีมาจาก 29 IP ที่แตกต่างกัน แสดงให้เห็นว่าอาจมีผู้โจมตีหลายราย"

ปัจจุบันอุปกรณ์ Juniper มากกว่า 8,200 เครื่อง ที่ J-Web สามารถเข้าถึงได้จากอินเทอร์เน็ต ตามข้อมูลของ Shadowserver ซึ่งส่วนใหญ่มาจากเกาหลีใต้

คำแนะนำ

  • แนะนำให้ผู้ดูแลระบบควรอัปเดตแพตช์ หรืออัปเกรด JunOS เป็นเวอร์ชันล่าสุดทันที หรืออย่างน้อยก็ควรปิดการเข้าถึง J-Web จากอินเทอร์เน็ต เพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา : bleepingcomputer