Juniper Networks ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ Session Smart Router, Session Smart Conductor และ WAN Assurance Router ซึ่งอาจถูกนำไปใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ได้
ช่องโหว่นี้มีหมายเลข CVE-2025-21589 โดยมีระดับความรุนแรง CVSS v3.1 อยู่ที่ 9.8 และ CVSS v4 อยู่ที่ 9.3
Juniper ได้ระบุในประกาศเตือนว่า "ช่องโหว่ Authentication Bypass โดยใช้เส้นทาง หรือช่องทางอื่น ๆ ใน Juniper Networks Session Smart Router ที่อาจทำให้ผู้โจมตีที่เข้าถึงเครือข่ายสามารถ Bypass ขั้นตอนการยืนยันตัวตน และเข้าควบคุมอุปกรณ์ด้วยสิทธิ์ระดับผู้ดูแลระบบได้"
ช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์ในเวอร์ชันต่าง ๆ ดังต่อไปนี้ :
- Session Smart Router: ตั้งแต่เวอร์ชัน 5.6.7 ถึง 5.6.17, เวอร์ชัน 6.0.8, ตั้งแต่เวอร์ชัน 6.1 ถึง 6.1.12-lts, ตั้งแต่เวอร์ชัน 6.2 ถึง 6.2.8-lts และตั้งแต่เวอร์ชัน 6.3 ถึง 6.3.3-r2
- Session Smart Conductor: ตั้งแต่เวอร์ชัน 5.6.7 ถึง 5.6.17, เวอร์ชัน 6.0.8, ตั้งแต่เวอร์ชัน 6.1 ถึง 6.1.12-lts, ตั้งแต่เวอร์ชัน 6.2 ถึง 6.2.8-lts และตั้งแต่เวอร์ชัน 6.3 ถึง 6.3.3-r2
- WAN Assurance Managed Routers: ตั้งแต่เวอร์ชัน 5.6.7 ถึง 5.6.17, เวอร์ชัน 6.0.8, ตั้งแต่เวอร์ชัน 6.1 ถึง 6.1.12-lts, ตั้งแต่เวอร์ชัน 6.2 ถึง 6.2.8-lts และตั้งแต่เวอร์ชัน 6.3 ถึง 6.3.3-r2
Juniper Networks ระบุว่าช่องโหว่นี้ถูกพบระหว่างการทดสอบ และวิจัยด้านความปลอดภัยภายในของผลิตภัณฑ์ และยังไม่พบว่ามีการนำช่องโหว่นี้ไปใช้ในการโจมตี
ช่องโหว่นี้ได้รับการแก้ไขแล้วใน Session Smart Router เวอร์ชั่น SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 และเวอร์ชั่นที่ใหม่กว่า
Juniper Networks ได้ระบุเพิ่มเติมว่า "ช่องโหว่นี้ได้รับการแก้ไขโดยอัตโนมัติบนอุปกรณ์ที่ทำงานด้วย WAN Assurance (ซึ่งมีการจัดการ configuration) ที่เชื่อมต่อกับ Mist Cloud อย่างไรก็ตาม ควรอัปเกรดเราเตอร์ให้เป็นเวอร์ชันที่มีการแก้ไขช่องโหว่เพื่อความปลอดภัยสูงสุด"
ที่มา : thehackernews.com
You must be logged in to post a comment.