Witold Kepinski - 03 juli 2024

Kwetsbaarheid in Juniper Networks Session Smart Router of Conductor

Een kwetsbaarheid in de Juniper Networks Session Smart Router of Conductor die authenticatie omzeilt met behulp van een alternatief pad of kanaal, waardoor een netwerkaanvaller authenticatie kan omzeilen en volledige controle over het apparaat kan krijgen.

Kwetsbaarheid in Juniper Networks Session Smart Router of Conductor image

Juniper Networks meldt: "Alleen routers of conductors die in redundante configuraties met hoge beschikbaarheid draaien, worden door deze kwetsbaarheid getroffen.

Dit probleem heeft geen betrekking op andere Juniper Networks-producten of -platformen."

Getroffen producten

Het securityprobleem heeft betrekking op:

Sessie Smart Router:

  • Alle versies vóór 5.6.15,
  • van 6.0 voor 6.1.9-lts,
  • van 6.2 voor 6.2.5-st.

Sessie Smart Conductor:

  • Alle versies vóór 5.6.15,
  • van 6.0 voor 6.1.9-lts,
  • van 6.2 voor 6.2.5-st.

WAN-beveiligingsrouter:

  • 6.0-versies vóór 6.1.9-lts,
  • 6.2 versies vóór 6.2.5-sts.

"Juniper SIRT is niet op de hoogte van kwaadaardige exploitatie van deze kwetsbaarheid.

Dit probleem is ontdekt tijdens interne tests of onderzoek naar de productbeveiliging", aldus Juniper Networks.

Oplossing

De volgende softwareversies zijn bijgewerkt om dit probleem op te lossen:

  • Session Smart Router: SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts en latere releases.

Juniper Networks meldt: "Het wordt aangeraden om alle getroffen systemen te upgraden naar deze versies van de software. In een Conductor-managed deployment is het voldoende om alleen de Conductor-knooppunten te upgraden en de fix wordt automatisch toegepast op alle aangesloten routers. In de praktijk moeten de routers nog steeds worden geüpgraded naar een vaste versie, maar ze zijn niet kwetsbaar zodra ze verbinding maken met een geüpgrade Conductor.

Deze kwetsbaarheid is automatisch gepatcht op getroffen apparaten voor MIST-beheerde WAN Assurance-routers die zijn verbonden met de Mist Cloud.

Het is belangrijk om op te merken dat de oplossing automatisch wordt toegepast op beheerde routers door een Conductor of op WAN Assurance-routers heeft dit geen invloed op de data-plane-functies van de router. De toepassing van de oplossing verstoort het productieverkeer niet. Er kan een momentane downtime (minder dan 30 seconden) zijn voor het webgebaseerde beheer en API's, maar dit zal snel worden opgelost."

Axians 12/11/2024 t/m 26/11/2024 BN+BW