CERT-Bund warnt vor Schwachstellen in Juniper-Produkten; PoC verfügbar

Sicherheit (Pexels, allgemeine Nutzung)In den Firewalls und Switches des Anbieters Juniper gibt es Schwachstellen, für die wohl noch nicht immer Patches verfügbar sind. Inzwischen gibt es ein Proof of Concept für diese Schwachstellen, so dass Angriffe auf die Produkte wahrscheinlich werden. Vor diesem Hintergrund warnt CERT-Bund vor diesem Risiko und hat einige Informationen dazu veröffentlicht.


Anzeige

Sicherheitsforscher von watchTowr haben am 25. August 2023 auf GitHub diese Warnung vor den Schwachstellen CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 und CVE-2023-36847 in Juniper JunOS samt einem Proof of Concept für Produkte der SRX- und EX-Serie veröffentlicht. Von Juniper Networks gibt es diese Sicherheitswarnung mit entsprechenden Details zu den Schwachstellen. Durch die Verkettung dieser Schwachstellen kann ein nicht authentifizierter, netzwerkbasierter Angreifer möglicherweise Remote Code auf den Geräten ausführen. Die Schwachstellen haben den CVE-Index 9.8 erhalten. Die Schwachstellen in der J-Web-Komponente von Juniper Networks Junos OS, die sich auf Geräte der SRX- und EX-Serie auswirken, wurden laut Juniper durch spezifischer Fixes behoben.

CERT-Warnung von Schwachstellen in Jonos OS

CERT-Bund schreibt in dieser Warnung, dass Juniper bislang noch nicht für alle betroffenen Versionen Patches bereitstellt. Alle vier geschlossenen Schwachstellen werden mit einem CVSS von 5.3 ("mittel") bewertet, kombiniert sollen sie allerdings laut Juniper Networks einen Score von 9.8 ("kritisch") erreichen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu CERT-Bund warnt vor Schwachstellen in Juniper-Produkten; PoC verfügbar

  1. Andy sagt:

    Die Telkos, die in ihrer Kerntechnik statt Huawei dann Juniper ausgerollt haben, sind sicherlich sowieso schon bei bester Laune.
    Hatte zwar vor einer Weile ein Gespräch mit einem Techniker eines hier nicht zu nennenden Telkos, der das als Rückschritt bezeichnete und sonst vor allem Dinge sagte, die nicht jugendfrei genug sind. Aber fürs Management ist das doch toll. Endlich kann man auch im Core vom klassischen CVSS-Kindergartenwettkampf (dabei sein ist alles) zum modernen Schwachstellen-Wettkampf der Erwachsenen wechseln (CVSS höher, patchen schneller und immer so weiter).

    schönen Freitag

  2. Rolf sagt:

    Jedes Produkt aus Drittländern wird (u.a. absichtliche) Sicherheitslücken haben. Jedes.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.