بایپس احراز هویت در روتر Smart Session شرکت Juniper
اخبار داغ فناوری اطلاعات و امنیت شبکه
مجموعه Juniper Networks یک آسیبپذیری مهم (CVE-2024-2973) را فاش کرده است که بر روی Session Smart Router (SSR) و Session Smart Conductor تاثیر میگذارد.
این نقص به مهاجمان متصل به شبکه اجازه میدهد تا احراز هویت را دور بزنند و کنترل کامل دستگاه را در پیکربندیهای اضافی با سطح دسترسی بالا به دست آورند.
آسیبپذیری بحرانی CVE-2024-2973: امکان بای پس احراز هویت
این آسیبپذیری که به عنوان «بایپس احراز هویت با استفاده از یک مسیر یا کانال جایگزین» شناخته میشود، بر دستگاههای SSR و Conductor که در تنظیمات همتای اضافی اجرا میشوند، تاثیر میگذارد.
مهاجمان میتوانند از این نقص برای دور زدن احراز هویت API سواستفاده کنند که خطر امنیتی قابل توجهی را به همراه دارد.
محصولات و نسخههای تحت تاثیر
این مشکل بر نسخههای زیر تاثیر میگذارد:
• در Session Smart Router:
◘ تمامی نسخههای قبل از 5.6.15
◘ نسخههای 6.0 تا 6.1.9-lts
◘ نسخههای 6.2 قبل از 6.2.5-sts
• در Session Smart Conductor:
◘ تمامی نسخههای قبل از 5.6.15
◘ نسخههای 6.0 تا 6.1.9-lts
◘ نسخههای 6.2 قبل از 6.2.5-sts
• در WAN Assurance Router:
◘ نسخه 6.0 قبل از 6.1.9-lts
◘ نسخه 6.2 قبل از 6.2.5-sts
مجموعه Juniper Networks نسخههای نرمافزاری به روز شدهای را برای رفع این آسیبپذیری منتشر کرده است که شامل Session Smart Router – SSR-5.6.15، SSR-6.1.9-lts، SSR-6.2.5-sts، و نسخههای بعدی هستند.
برای استقرارهای مدیریت شده توسط Conductor، ارتقاء نودهای Conductor به طور خودکار این اصلاح را برای همه روترهای متصل اعمال میکند.
بااینحال، همچنان توصیه میشود که روترها به یک نسخه ثابت ارتقا داده شوند تا از محافظت کامل از آنها، اطمینان حاصل شود.
این پچ به طور خودکار برای روترهای WAN Assurance متصل به Mist Cloud اعمال شده است.
سیستمهای موجود در یک کلاستر با سطح دسترسی بالا باید در اسرع وقت به SSR-6.1. 9 یا SSR-6.2. 5 ارتقا داده شوند.
اعمال نمودن رفع مشکلات برای ترافیک تولیدی مشکلی ایجاد نمیکند و تنها با یک توقف کوتاه (کمتر از 30 ثانیه) برای مدیریت مبتنی بر وب و APIها انجام میپذیرد.
شرکت Juniper Networks به همه کاربران آسیبدیده توصیه میکند که سیستمهای خود را سریعا ارتقا دهند تا خطر ناشی از این آسیبپذیری را به حداقل برسانند.
برچسب ها: WAN Assurance, Conductor, WAN Assurance Router, CVE-2024-2973, Session Smart Conductor, Session Smart Router, Juniper Networks, Juniper, Patch, cybersecurity, آسیبپذیری, Vulnerability, router, جاسوسی سایبری, روتر, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news