Détection d’Exploitation des Vulnérabilités de Junos OS : Les Hackers Exploitent la Chaîne de Failles RCE CVE-2023-36844 en Abusant des Périphériques Juniper Après la Publication du PoC
Table des matières :
Les adversaires exploitent quatre failles de sécurité RCE nouvellement découvertes dans le composant J-Web de Junos OS suivies comme CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 et CVE-2023-3684. Les vulnérabilités identifiées peuvent être enchaînées, permettant aux attaquants d’exécuter du code arbitraire sur les instances compromises. Après la divulgation d’un PoC exploit permettant l’enchaînement des failles Juniper JunOS, les défenseurs informatiques sensibilisent aux instances croissantes de tentatives d’exploitation liées.
Détecter l’exploit en chaîne RCE CVE-2023-36844
Avec le code PoC exploitable pour la chaîne RCE CVE-2023-36844 disponible publiquement sur le web, les professionnels de la sécurité ont besoin de contenu de détection organisé pour identifier de manière proactive les intrusions possibles. La plateforme SOC Prime agrège une règle Sigma pertinente qui aide à détecter les tentatives potentielles d’exploitation de chaîne RCE par un attaquant interne.
Cette règle est compatible avec 18 formats technologiques SIEM, EDR, XDR et Data Lake et est mappée au cadre MITRE ATT&CK abordant les tactiques d’accès initial, avec Exploit Public-Facing Application (T1190) comme technique correspondante.
Pour plonger dans l’ensemble complet des règles Sigma détectant les tentatives d’exploitation des vulnérabilités existantes et émergentes, appuyez sur le bouton Explorer les détections ci-dessous. Obtenez des algorithmes de détection pertinents et explorez des métadonnées étendues, y compris le contexte CTI et MITRE ATT&CK.
Analyse de l’attaque en chaîne de bug RCE Juniper
Le 19 août 2023, Juniper Networks a publié un avis de sécurité avertissant les défenseurs des quatre nouvelles failles découvertes dans le composant J-Web de Junos OS qui peuvent mener à RCE si elles sont enchaînées. Les problèmes détectés affectent toutes les versions des commutateurs Juniper EX et des pare-feu SRX, ce qui nécessite une attention immédiate de la part des défenseurs informatiques suivant les recommandations fournies dans le bulletin de sécurité.
Tous les bogues de sécurité sont considérés comme critiques, avec une note CVSS cumulative atteignant 9.8, et peuvent être regroupés comme suit :
- CVE-2023-36844 et CVE-2023-36845 sont des vulnérabilités de modification externe de variables PHP permettant aux attaquants de contrôler des variables d’environnement significatives
- CVE-2023-36846 et CVE-2023-36847 sont des absences d’authentification pour des failles de fonction critique qui permettent aux acteurs malveillants d’affecter l’intégrité du système de fichiers après des tentatives d’exploitation réussies.
Bien que Juniper Networks ait déclaré qu’il n’y avait pas de preuve d’attaques sauvages exploitant la chaîne de bogues, la situation a changé juste une semaine après que watchTowr Labs a publié le PoC exploit, montrant le contraire. Par exemple, l’équipe Shadowserver Foundation a identifié une série de tentatives d’exploitation à partir d’un ensemble d’IPs utilisant CVE-2023-36844 et d’autres bogues dans la chaîne RCE et utilisant le PoC exploit mentionné ci-dessus. Pour fournir plus d’aperçus sur l’enchaînement et l’exploitation de ces nouvelles failles Juniper OS, les chercheurs ont également publié une analyse technique approfondie avec une analyse technique détaillée du processus d’exploitation.
Selon la recherche de l’équipe de Shadowserver, les hackers ont déjà compromis plus de 8 000 instances Juniper, la plupart des cibles étant situées en Corée du Sud.
Pour atténuer la menace potentielle, les défenseurs recommandent d’appliquer immédiatement des correctifs ou de passer à la dernière version de JunOS. De plus, désactiver immédiatement l’accès Internet au composant J-Web peut aider à réduire la surface d’attaque.
Comptez sur le CTI collectif et construisez votre recherche sur l’expertise partagée par les pairs avec Uncoder AI tout en économisant du temps dans vos opérations de sécurité quotidiennes et en gardant le doigt sur le pouls de l’environnement de menace en constante évolution.
