Kritične ranjivosti u Junos OS
Dana 10. siječnja 2024. godine, tvrtka Juniper objavila je sigurnosno upozorenje o kritičnoj ranjivosti čije iskorištavanje može rezultirati udaljenim izvršavanjem kôda (engl. remote code execution - RCE) ili uskraćivanjem usluge (engl. Denial of Service - DoS). Iako u trenutku pisanja članka nisu zabilježene zlouporabe ove ranjivosti, preporučuje se žurno ažuriranje sustava na najnoviju dostupnu inačicu.
Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2024-21591 (CVSS ocjena 9.8) proizlazi iz nesigurne funkcije koja osigurava napadaču prepisivanje proizvoljne memorije što omogućuje udaljeno izvršavanje kôda ili uskraćivanje usluge na mreži te stjecanje sistemskih privilegija (root) na uređaju.
Na uređaju se mora koristiti barem jedna od sljedećih konfiguracija da bi sustav bio ranjiv:
- [system services web-management http]
- [system services web-management https]
Zahvaćeni proizvodi:
Ovaj ranjivost zahvaća Juniper Networks Junos OS SRX Series i EX Series:
- Junos OS verzije starije od 20.4R3-S9;
- Junos OS 21.2 verzije starije od 21.2R3-S7;
- Junos OS 21.3 verzije starije od 21.3R3-S5;
- Junos OS 21.4 verzije starije od 21.4R3-S5;
- Junos OS 22.1 verzije starije od 22.1R3-S4;
- Junos OS 22.2 verzije starije od 22.2R3-S3;
- Junos OS 22.3 verzije starije od 22.3R3-S2;
- Junos OS 22.4 verzije starije od 22.4R2-S2, 22.4R3.
Preporuke:
Preporučuje se žurno ažuriranje svih Junos OS na najnoviju dostupnu inačicu te ograničavanje pristupa konfiguracijskom sučelju J-Web samo za pouzdane host-ove i mreže.
Privremena rješenja:
Ako ažuriranje nije moguće, privremeno rješenje je onemogućavanje J-Web-a ili ograničavanje pristupa J-Web-u samo za pouzdane host-ove.
Više informacija moguće je pročitati na sljedećoj poveznici:
[inicijalna objava: 16.1.2024 - 11:45]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava