Uma nova pesquisa descobriu que cerca de 12.000 dispositivos de firewall Juniper expostos à Internet são vulneráveis ​​a uma falha de execução remota de código divulgada recentemente.

VulnCheck, que descobriu uma nova exploração para CVE-2023-36845, disse que poderia ser explorado por um “atacante remoto e não autenticado para executar código arbitrário em firewalls Juniper sem criar um arquivo no sistema”.

CVE-2023-36845 refere-se a uma falha de gravidade média no componente J-Web do Junos OS que pode ser transformada em arma por um agente ofensor para controlar certas variáveis ​​de ambiente importantes. Essa CVE foi corrigida pela Juniper Networks no mês passado junto com CVE-2023-36844, CVE-2023-36846 e CVE-2023-36847 em uma atualização fora de ciclo.

Uma exploração de prova de conceito (PoC) subsequente desenvolvida por watchTowr combinou CVE-2023-36846 e CVE-2023-36845 para carregar um arquivo PHP contendo shellcode malicioso e obter a execução do código.

A exploração mais recente, por outro lado, afeta sistemas mais antigos e pode ser escrita usando um único comando curl. Especificamente, depende apenas do CVE-2023-36845 para atingir o mesmo objetivo.

Isso, por sua vez, é realizado usando o fluxo de entrada padrão (também conhecido como stdin) para definir a variável de ambiente PHPRC como "/dev/fd/0" por meio de uma solicitação HTTP especialmente criada, transformando efetivamente "/dev/fd/0" em um arquivo improvisado e vazar informações confidenciais.

A execução arbitrária do código é então obtida aproveitando as opções auto_prepend_file e allow_url_include do PHP em conjunto com o wrapper do protocolo data://.

Desde então, a Juniper revelou que não tem conhecimento de uma exploração bem-sucedida contra seus clientes, mas alertou que detectou tentativas de exploração, tornando imperativo que os usuários apliquem as correções necessárias para mitigar ameaças potenciais.

Fonte