ADVERTENCIA: LA VULNERABILIDAD CRÍTICA EN LOS ENRUTADORES INTELIGENTES SESSION, CONDUCTOR Y WAN ASSURANCE DE JUNIPER NETWORKS PUEDE EXPLOTARSE PARA EJECUTAR CÓDIGO. ¡PARCHE INMEDIATAMENTE!
Software afectado:
Productos de Juniper Networks: enrutador inteligente de sesión, conductor inteligente de sesión, enrutadores de garantía de WAN
CVE/CVSS:
CVE-2024-2973: 10.0 (CVSS:3.1/AV:N/AC:N/PR:N/UI:N/C:H/I:H/A:H)
Fuentes
Asesoramiento sobre Junyper Networks – https://supportportal.juniper.net/s/article/2024-06-Boletín-de-seguridad-fuera-de-ciclo-Enrutador-inteligente-de-sesión-SSR-en-implementaciones-de-enrutador-redundante-Se-puede-omitir-la-autenticación-de-API-CVE-2024-2973?language=es_ES
Riesgos
El 27 de junio de 2024, Juniper Networks publicó un aviso de seguridad sobre una vulnerabilidad crítica que afectaba a varios de sus productos, concretamente Session Smart Router, Session Smart Conductor y WAN Assurance Router. La explotación exitosa de esta vulnerabilidad podría provocar la ejecución remota de código.
Tenga en cuenta que solo los enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad se ven afectados por esta vulnerabilidad.
Los productos afectados son software que se utiliza en dispositivos de enlace. Las vulnerabilidades en los enrutadores Juniper, entre otros tipos de dispositivos, son el blanco habitual de ataques de los actores de amenazas, incluso a principios de este año.[1] Actualmente no hay información que indique que la vulnerabilidad se esté explotando activamente (fecha límite: 28 de junio de 2024).
La explotación de esta vulnerabilidad puede tener un alto impacto en la confidencialidad, integridad y disponibilidad.
Descripción
CVE-2024-2973 es una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal. Esta vulnerabilidad existe en el enrutador o conductor inteligente de sesión de Juniper Networks que ejecuta un par redundante. Tenga en cuenta que esta vulnerabilidad solo afecta a los enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad.
Si se explota con éxito, un atacante basado en la red podría eludir la autenticación y tomar el control total del dispositivo.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables, después de realizar pruebas exhaustivas.
Juniper Networks informó que esta vulnerabilidad se solucionó con las siguientes actualizaciones de software: SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts y versiones posteriores.
Tenga en cuenta que los requisitos de actualización pueden diferir según el software utilizado:
- En una implementación administrada por Conductor, basta con actualizar solo los nodos de Conductor y la corrección se aplicará automáticamente a todos los enrutadores conectados. En la práctica, los enrutadores deben actualizarse a una versión corregida; sin embargo, no serán vulnerables una vez que se conecten a un Conductor actualizado.
- Esta vulnerabilidad se ha solucionado automáticamente en los dispositivos afectados para los enrutadores WAN Assurance conectados a Mist Cloud. Para los sistemas que se aprovisionan en un clúster de alta disponibilidad, se deben actualizar a una versión parcheada tan pronto como sea posible (SSR-6.1.9 o SSR-6.2.5).
- La corrección se aplica automáticamente en los enrutadores administrados por un conductor o en los enrutadores de seguridad WAN y no tiene impacto en las funciones del plano de datos del enrutador. La aplicación de la corrección no interrumpe el tráfico de producción. Puede haber un tiempo de inactividad momentáneo (menos de 30 segundos) en la administración basada en web y las API; sin embargo, esto se resolverá rápidamente.
Monitorizar/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar un incidente a través de: https://cert.be/es/reportar-incidente
Si bien actualizar los dispositivos o el software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no remedia los ataques históricos.