Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Bundesbehörden davor gewarnt, bis Freitag Sicherheitslücken in Juniper-Geräten in ihren Netzwerken zu schließen. Diese Schwachstellen werden derzeit in Remote Code Execution (RCE)-Angriffen ausgenutzt, die Teil einer Pre-Auth Exploit-Kette sind.
Die Warnung folgt einer Woche nachdem Juniper seine Kunden darüber informiert hat, dass vier Schwachstellen in der J-Web-Schnittstelle (identifiziert als CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 und CVE-2023-36847) erfolgreich ausgenutzt wurden.
„Das Juniper SIRT ist jetzt über die erfolgreiche Ausnutzung dieser Schwachstellen informiert. Kunden werden dringend gebeten, sofort ein Upgrade durchzuführen,“ sagte das Unternehmen.
Die Warnungen erfolgen, nachdem der ShadowServer-Dienst zur Bedrohungsüberwachung bereits am 25. August Ausnutzungsversuche festgestellt hat, eine Woche nachdem Juniper Sicherheitsupdates veröffentlicht hat und watchTowr Labs Sicherheitsforscher ebenfalls einen Proof-of-Concept (PoC) Exploit veröffentlicht haben.
Laut Daten von Shadowserver sind über 10.000 Juniper-Geräte mit ihren anfälligen J-Web-Schnittstellen online, die meisten davon in Südkorea (Shodan sieht mehr als 13.600 Internet-exponierte Juniper-Geräte).
Administratoren werden dringend aufgefordert, ihre Geräte sofort zu sichern, indem sie JunOS auf die neueste Version aktualisieren oder zumindest den Internetzugang zur J-Web-Schnittstelle einschränken, um den Angriffsvektor zu eliminieren.
„Angesichts der Einfachheit der Ausnutzung und der privilegierten Position, die JunOS-Geräte in einem Netzwerk einnehmen, würden wir uns nicht wundern, wenn es zu einer großangelegten Ausnutzung käme“, sagten watchTowr Labs-Forscher im August.
„Denjenigen, die ein betroffenes Gerät betreiben, wird dringend geraten, so schnell wie möglich auf eine gepatchte Version zu aktualisieren und/oder den Zugang zur J-Web-Schnittstelle zu deaktivieren, wenn dies irgendwie möglich ist.“
Bundesbehörden müssen bis zum 17. November patchen Heute hat CISA die vier aktiv ausgenutzten Juniper-Schwachstellen auch in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen, da sie „häufige Angriffsvektoren für böswillige Cyberakteure“ darstellen und „erhebliche Risiken für das Bundesunternehmen“ bergen.
Mit ihrer Aufnahme in CISAs KEV-Liste müssen US-Bundesbehörden nun innerhalb eines begrenzten Zeitraums Juniper-Geräte in ihren Netzwerken absichern, gemäß einer vor einem Jahr erlassenen bindenden Betriebsanweisung (BOD 22-01).
Nach dem heutigen Update des KEV-Katalogs müssen die Bundesbehörden innerhalb der nächsten vier Tage, bis zum 17. November, alle Juniper-Geräte aktualisieren.
Obwohl BOD 22-01 in erster Linie auf US-Bundesbehörden abzielt, empfiehlt CISA nachdrücklich allen Organisationen, einschließlich privater Unternehmen, die Schwachstellen so schnell wie möglich zu patchen.
Im Juni gab CISA die erste bindende Betriebsanweisung (BOD) des Jahres heraus, in der US-Bundesbehörden angewiesen wurden, die Sicherheit von Internet-exponierten oder falsch konfigurierten Netzwerkgeräten, wie Junipers Firewall- und Switch-Geräten, innerhalb eines Zeitfensters von zwei Wochen nach ihrer Entdeckung zu verbessern.