Detección de Explotación de Vulnerabilidades en Junos OS: Hackers Aprovechan la Cadena de Bugs RCE CVE-2023-36844 Abusando de Dispositivos Juniper tras la Publicación de PoC

[post-views]
agosto 31, 2023 · 3 min de lectura
Detección de Explotación de Vulnerabilidades en Junos OS: Hackers Aprovechan la Cadena de Bugs RCE CVE-2023-36844 Abusando de Dispositivos Juniper tras la Publicación de PoC

Los adversarios se aprovechan de cuatro fallas de seguridad RCE recientemente descubiertas en el componente J-Web de Junos OS rastreadas como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 y CVE-2023-3684. Se puede encadenar las vulnerabilidades identificadas, lo que permite a los atacantes ejecutar código arbitrario en las instancias comprometidas. Tras la divulgación de un exploit PoC para encadenar las fallas de Juniper JunOS, los defensores cibernéticos están aumentando la concienciación sobre el creciente número de intentos de explotación relacionados.

Detectar Explotación de Cadena RCE CVE-2023-36844

Con el código exploit de prueba de concepto (PoC) para la cadena RCE CVE-2023-36844 disponible públicamente en la web, los profesionales de seguridad requieren contenido de detección curado para identificar proactivamente posibles intrusiones. La plataforma SOC Prime agrega una regla Sigma relevante que ayuda a detectar posibles intentos de explotación de la cadena RCE por un atacante interno.

Posible Intento de Explotación de Cadena RCE CVE-2023-36844 (Modificación de Variables Externas PHP de Juniper) (vía proxy)

Esta regla es compatible con 18 formatos de tecnología SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK abordando tácticas de Acceso Inicial, con la técnica de Explotación de Aplicación Expuesta al Público (T1190) como técnica correspondiente.

Para explorar toda la colección de reglas Sigma que detectan intentos de explotación de vulnerabilidades existentes y emergentes, presiona el botón Explorar Detecciones a continuación. Consigue algoritmos de detección relevantes y explora amplia metadata, incluyendo contexto CTI y MITRE ATT&CK.

Explorar Detecciones

Análisis de Cadena de Ataque de Error RCE de Juniper

El 19 de agosto de 2023, Juniper Networks emitió un aviso de seguridad advirtiendo a los defensores de las cuatro nuevas fallas descubiertas en el componente J-Web de Junos OS, que pueden llevar a RCE si se encadenan. Los problemas detectados afectan a todas las versiones de los conmutadores Juniper EX y firewalls SRX, lo cual requiere atención inmediata de los defensores cibernéticos siguiendo las recomendaciones proporcionadas en el boletín de seguridad.

Todos los errores de seguridad se consideran críticos, con una calificación CVSS acumulativa de 9.8, y se pueden agrupar de la siguiente manera:

  • CVE-2023-36844 y CVE-2023-36845 son vulnerabilidades de Modificación de Variables Externas PHP que permiten a los atacantes controlar variables de entorno significativas
  • CVE-2023-36846 y CVE-2023-36847 son fallas de autenticación faltante para funciones críticas que permiten a los actores de amenazas impactar la integridad del sistema de archivos tras intentos exitosos de explotación.

Aunque Juniper Networks afirmó que no había evidencia de ataques en la naturaleza explotando la cadena de fallas, la situación dio un giro apenas una semana después de que watchTowr Labs lanzara el exploit PoC, mostrando lo contrario. Por ejemplo, el equipo de Shadowserver Foundation identificó una serie de intentos de explotación de un conjunto de IPs que se aprovechan de CVE-2023-36844 y otros errores en la cadena RCE utilizando el exploit PoC mencionado anteriormente. Para proporcionar más información sobre la encadenación y el armamento de estas nuevas fallas de Juniper OS, los investigadores también emitieron un análisis técnico en profundidad con un análisis técnico detallado del proceso de explotación.

Según la investigación del equipo de Shadowserver, los hackers ya han comprometido más de 8,000 instancias de Juniper, con la mayoría de los objetivos ubicados en Corea del Sur.

Para mitigar la amenaza potencial, los defensores recomiendan aplicar inmediatamente parches o actualizar a la última versión de JunOS. Además, deshabilitar instantáneamente el acceso a Internet al componente J-Web puede ayudar a reducir la superficie de ataque.

Confía en CTI colectivo y construye tu investigación sobre la experiencia impulsada por pares con Uncoder AI mientras ahorras tiempo en tus operaciones de seguridad diarias y mantienes el pulso del siempre cambiante entorno de amenazas.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Blog, Últimas Amenazas — 6 min de lectura
Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Veronika Telychko
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Blog, Últimas Amenazas — 5 min de lectura
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Veronika Telychko
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Blog, Últimas Amenazas — 5 min de lectura
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Veronika Telychko