吳明宜周二 Juniper Networks 發佈例外安全更新,解決防火牆 SRX Series 及網路交換器 Ex Series,可讓攻擊者接管受害系統的 Junos 作業系統高風險漏洞,為去年八月以來第二度。
兩項漏洞編號為 CVE-2024-21619 及 CVE-2024-21620,源自 Juno OS 中的 J-Web 元件,所有 Junos OS 版本都受影響。其中較嚴重的是 CVE-2024-21620 (CVSS: 8.8),為跨站指令碼攻擊漏洞,攻擊者可以透過傳送惡意呼叫,而在受害系統上執行任意指令。 CVE-2024-21619 (CVSS: 5.3) ,為欠缺驗證漏洞,可導致敏感資訊外洩。
二項漏洞是由安全業者 watchTowr Labs 安全及通報。 Juniper 已發佈更新修補漏洞,包括 Junos OS 20.4 、 21.2 、 21.4 、 22.1 、 22.2 、 22.3 、 22.4 、 23.3 及 23.4(與後續版本)中的 CVE-2024-21260 。以及 Junos OS 20.4 、 21.2 、 21.3 、 21.4 、 22.1 、 22.2 、 22.3 、 22.4 、 23.2 、 23.2 及 23.4(與後續版本)的 CVE-2024-21619 。
若管理員無法及時更新,Juniper 建議先關閉 J-Web 或將存取權限縮至信任的主機。
值得一提的是 Juniper 去年 8 月才修補影響 Junos OS 介面 J-Web 的重大漏洞 CVE-2024-21591,屬 CVSS 值 9.8 的重大漏洞,可能導致阻斷服務 (DoS) 及遠端程式碼執行。本漏洞也影響 SRX 防火牆及 EX 交換器。 Juniper 雖然去年就發佈修補程式,但安全廠商到本月初還發現有 1.1 萬台 Juniper 設備仍未安裝更新,可能因此成為攻擊目標。