Juniper警告存在严重身份验证绕过漏洞（CVE-2024-2973，CVSS 评分为 10）

瞻博网络（Juniper）上周发布了一份不定期安全公告，警告 Session Smart 路由器和导体产品存在导致身份验证绕过的严重漏洞。

该公司解释说，该问题被编号为 CVE-2024-2973（CVSS 评分为 10），影响所有在高可用性冗余配置中运行的 Session Smart 路由器和导体。

瞻博网络在其公告中指出：“与冗余对等体一起运行的瞻博网络会话智能路由器或导体中存在利用备用路径或通道绕过身份验证的漏洞，可让网络攻击者绕过身份验证并完全控制设备。”

据该公司称，5.6.15、6.1.9-lts 和 6.2.5-sts 之前的 Session Smart 路由器和连接器版本受到 CVE-2024-2973 的影响。6.1.9-lts 和 6.2.5-sts 之前的 WAN Assurance 路由器版本也容易受到攻击。

SSR-5.6.15、SSR-6.1.9-lts、SSR-6.2.5-sts 及后续版本解决了此漏洞。

Juniper 指出：“建议将所有受影响的系统升级到这些软件版本。在 Conductor 管理的部署中，只需升级 Conductor 节点即可，修复将自动应用于所有连接的路由器。实际上，路由器仍应升级到修复版本；但是，一旦它们连接到升级的 Conductor，它们就不会再受到攻击。”

该公司还解释说，对于连接到 Mist 云的 Mist 管理 WAN Assurance 路由器，该漏洞已在受影响的设备上自动解决。

Juniper 表示：“需要注意的是，修复程序会自动应用到由 Conductor 管理的路由器或 WAN 路由器上，确保不会影响路由器的数据平面功能。修复程序的应用不会对生产流量造成干扰。”

此次更新可能会导致基于 Web 的管理和 API 的停机时间少于 30 秒。

瞻博网络指出，目前尚无针对该漏洞的解决方法，且并未发现有人利用该漏洞进行攻击。

参考链接：

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-d-link-dir-859-router-flaw-to-steal-passwords/

讲述普通人能听懂的安全故事