Erkennung von Exploits bei Junos OS-Schwachstellen: Hacker nutzen CVE-2023-36844 RCE-Fehlerkette aus und missbrauchen Juniper-Geräte nach PoC-Veröffentlichung

[post-views]
August 31, 2023 · 3 min zu lesen
Erkennung von Exploits bei Junos OS-Schwachstellen: Hacker nutzen CVE-2023-36844 RCE-Fehlerkette aus und missbrauchen Juniper-Geräte nach PoC-Veröffentlichung

Gegner nutzen vier neu entdeckte RCE-Sicherheitslücken in der J-Web-Komponente der Junos OS aus, die als CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 und CVE-2023-36847 bekannt sind. Die identifizierten Schwachstellen können miteinander verknüpft werden, wodurch Angreifer in der Lage sind, beliebigen Code auf den kompromittierten Instanzen auszuführen. Nach der Offenlegung eines PoC-Exploits zur Verkettung der Juniper JunOS-Schwächen sensibilisieren Cyber-Verteidiger über die zunehmenden Fälle von damit verbundenen Ausnutzungsversuchen.

CVE-2023-36844 RCE Kettenexploit erkennen

Da der Proof-of-Concept (PoC)-Exploitcode für die CVE-2023-36844 RCE-Kette öffentlich im Web verfügbar ist, benötigen Sicherheitsfachleute kuratierte Erkennungsinhalte, um mögliche Eindringungen proaktiv zu identifizieren. Die SOC Prime Platform aggregiert eine relevante Sigma-Regel, die hilft, mögliche RCE-Kettenausnutzungsversuche durch interne Angreifer zu erkennen.

Möglicher CVE-2023-36844 (Juniper PHP External Variable Modification) RCE Kettenausnutzungsversuch (über Proxy)

Diese Regel ist mit 18 SIEM-, EDR-, XDR- und Data-Lake-Technologiformaten kompatibel und ist dem MITRE ATT&CK-Framework zugeordnet, das sich mit Taktiken des anfänglichen Zugriffs befasst, wobei das Ausnutzen öffentlich zugänglicher Anwendungen (T1190) als entsprechende Technik dient.

Um die gesamte Sammlung von Sigma-Regeln zu durchforsten, die Ausnutzungsversuche bestehender und neu auftretender Schwachstellen erkennen, drücken Sie unten den Button ‚Erkennungen durchsuchen‘. Greifen Sie auf relevante Erkennungsalgorithmen zu und durchsuchen Sie umfangreiche Metadaten, einschließlich CTI und MITRE ATT&CK-Kontext.

Erkennungen durchsuchen

Analyse der Juniper RCE-Bug-Kettenangriffe

Am 19. August 2023 veröffentlichte Juniper Networks einen Sicherheitshinweis, der Verteidiger vor den vier neu aufgedeckten Schwächen in der J-Web-Komponente von Junos OS warnt, die bei Verkettung zu RCE führen können. Die erkannten Probleme betreffen alle Versionen der Juniper EX-Switches und SRX-Firewalls, was sofortige Aufmerksamkeit von Cyber-Verteidigern erfordert, die den Empfehlungen im Sicherheitsbulletinfolgen sollen.

Alle Sicherheitslücken werden als kritisch betrachtet, mit einer kumulativen CVSS-Wertung von 9,8, und können wie folgt gruppiert werden:

  • CVE-2023-36844 und CVE-2023-36845 sind PHP External Variable Modification Schwachstellen, die Angreifern ermöglichen, bedeutende Umgebungsvariablen zu kontrollieren.
  • CVE-2023-36846 und CVE-2023-36847 sind fehlende Authentifizierungen für kritische Funktionslücken, die Bedrohungsakteuren ermöglichen, die Integrität des Dateisystems bei erfolgreichen Ausnutzungsversuchen zu beeinflussen.

Obwohl Juniper Networks behauptete, dass es keine Beweise für Angriffe in freier Wildbahn zur Ausnutzung der Bug-Kette gab, änderte sich die Lage nur eine Woche, nachdem watchTowr Labs den PoC-Exploitveröffentlicht hatte, was das Gegenteil zeigte. Zum Beispiel identifizierte das Shadowserver Foundation Team eine Reihe von Ausnutzungsversuchen von einem Satz von IPs, die CVE-2023-36844 und andere Bugs in der RCE-Kette nutzen und den oben genannten PoC-Exploit verwenden. Um mehr Einblicke in die Verkettung und Bewaffnung dieser neuartigen Juniper OS-Schwächen zu bieten, veröffentlichten Forscher auch einen technischen Deep-Dive mit einer detaillierten technischen Analyse des Ausnutzungsprozesses.

Laut der Forschung des Shadowserver-Teams haben Hacker bereits über 8.000 Juniper-Instanzen kompromittiert, wobei sich die meisten Ziele in Südkorea befinden.

Um die potenzielle Bedrohung zu mindern, empfehlen Verteidiger, sofort Patches anzuwenden oder auf die neueste JunOS-Version zu aktualisieren. Auch die sofortige Deaktivierung des Internetzugangs zur J-Web-Komponente kann helfen, die Angriffsfläche zu reduzieren.

Verlassen Sie sich auf kollektive CTI und bauen Sie Ihre Forschung auf fundierter, von Kollegen getriebener Expertise mit Uncoder AI während Sie Zeit in Ihren täglichen Sicherheitsoperationen sparen und den Finger am Puls der sich ständig wandelnden Bedrohungsumgebung halten.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt
Daryna Olyniychuk
CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung
Blog, Neueste Bedrohungen — 3 min zu lesen
CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung
Veronika Telychko
CVE-2025-47981: Kritische heap-basierte Buffer Overflow-Schwachstelle in Windows SPNEGO Extended Negotiation
Blog, Neueste Bedrohungen — 3 min zu lesen
CVE-2025-47981: Kritische heap-basierte Buffer Overflow-Schwachstelle in Windows SPNEGO Extended Negotiation
Daryna Olyniychuk