CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链

一周前，Juniper 更新其安全更新通知客户称，Juniper 的 J-Web 接口中存在多个漏洞（CVE-2023-36844、CVE-2023-36845、CVE-2023-36846和CVE-2023-36847）且已遭成功利用。该公司提到，“Juniper SIRT 发现这些漏洞已遭成功利用。客户应立即升级。”

ShadowServer 威胁监控服务不久前披露称已经在8月25日检测到利用尝试，距离 Juniper 发布漏洞补丁过去一周的时间，发生在 watchtower Labs 安全研究员发布 PoC 利用之后。

Shadowserver 服务数据显示，超过1万台 Juniper 设备已将易受攻击的 J-Web 接口暴露在网络，这些设备多数来自韩国（Shodan 搜索发现超过1.36万台遭 Internet 暴露的 Juniper 设备）。

建议管理员将 JunOS 升级至最新发布保护设备安全，或者作为最小程度的预防措施，应限制对 J-Web 接口的互联网访问权限，消除攻击向量。

watchtower Labs 的安全研究员8月份表示，“鉴于利用的可简化性以及 JunOS 设备在网络中的权限位置，出现大规模的利用情况也并不令人惊讶。运行受影响设备的管理员应当尽早更新至已修复版本，以及/或者在可能的情况下禁用对 J-Web 接口的访问权限。”

今天，CISA 还将四个已遭活跃利用的 Juniper 漏洞添加至必修清单，将它们标记为“恶意网络人员经常使用的攻击向量”，并“对联邦企业造成重大风险”。随着被加入必修清单，根据绑定运营指令BOD 22-01的要求，美国联邦政府民事行政部门现在必须在规定时间内保护网络中 Juniper 设备的安全。必修清单发布后，联邦机构必须在11月17日之前完成对所有 Juniper 设备的升级。虽然 BOD 22-01 主要针对的是美国联邦机构，但CISA 强烈建议所有组织机构包括私营企业在内，尽快修复这些漏洞。

今年6月份，CISA 发布本年度的 BOD，要求美国联网机构在漏洞发现的两周窗口期内，增强暴露在互联网或配置不当的网络设备安全性，如 Juniper 防火墙和交换机设备。