CVE-2024-21591
Junos Jweb RCE OOB write

TL;DR


Tldr Cve 2024 21591 Junos Jweb Rce Oob Write

Versions concernées


Équipement Juniper SRX et EX Series : 

  • Junos OS versions antérieure à 20.4R3-S9 
  • Junos OS 21.2 versions antérieure à 21.2R3-S7 
  • Junos OS 21.3 versions antérieure à 21.3R3-S5 
  • Junos OS 21.4 versions antérieure à 21.4R3-S5 
  • Junos OS 22.1 versions antérieure à 22.1R3-S4 
  • Junos OS 22.2 versions antérieure à 22.2R3-S3 
  • Junos OS 22.3 versions antérieure à 22.3R3-S2 
  • Junos OS 22.4 versions antérieure à 22.4R2-S2, 22.4R3 

Informations


Détails 

Le 10 janvier 2024 la société Juniper publiait un bulletin de sécurité concernant une vulnérabilité dans l’interface web de leurs équipements des séries SRX (pare-feu) et EX (commutateur). Cette vulnérabilité, identifiée comme CVE-2024-21591, a un score CVSS de 9.8. 

En effet, cette vulnérabilité est classée comme une écriture hors limite (Out-of-bound write), ce qui signifie qu’elle permet d’écrire dans une zone de la mémoire normalement inatteignable.  

L’exploitation de cette vulnérabilité peut conduire un utilisateur non authentifié à des scénarios contrastés : depuis une indisponibilité causée par un déni de service (DoS) jusqu’à des situations plus graves comme l’exécution de code à distance (RCE) 

 

Détection 

À ce jour, il n’existe que peu d’information au sujet de cette vulnérabilité car aucune preuve de concept ou compte-rendu n’est disponible.  

Nos équipes restent cependant attentives aux nouvelles informations qui pourraient être publiées.  

 

Correction 

Le fournisseur a d’ores-et-déjà publié les correctifs nécessaires avec les versions suivantes :  

Junos OS:  

  • 20.4R3-S9 
  • 21.2R3-S7 
  • 21.3R3-S5 
  • 21.4R3-S5 
  • 22.1R3-S4 
  • 22.2R3-S3 
  • 22.3R3-S2 
  • 22.4R2-S2 
  • 22.4R3 
  • 23.2R1-S1 
  • 23.2R2 
  • 23.4R1 

 

Bien qu’il ne semble pas y avoir de signe évident d’exploitation observé, la criticité de ces équipements fait qu’il est nécessaire de mettre à jour au plus vite les équipements vulnérables. 

 

Les préconisations du constructeur dans le cas où la mise à jour rapide des équipements n’est pas possible, est tout simplement de désactiver l’interface J-Web ou, à défaut, de limiter l’accès à l’interface J-Web à un nombre limité d’hôtes de confiance. 

 

 

 

Auteur : Purple Team Gatewatcher