Junos OSの脆弱性のエクスプロイト検知：ハッカーがPoC公開後にジュニパーデバイスを悪用したCVE-2023-36844 RCEバグチェーンを活用

敵対者はJunos OSのJ-Webコンポーネントにおける新たに発見された4つのRCEセキュリティ欠陥であるCVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-3684を武器化しています。特定された脆弱性は連鎖することができ、攻撃者が侵害されたインスタンス上で任意のコードを実行することを可能にします。Juniper JunOSの欠陥を連鎖させるためのPoCエクスプロイトが公開された後、サイバー防衛者は関連するエクスプロイト試行の増加に関する認識を高めています。

CVE-2023-36844 RCEチェーンエクスプロイトを検出する

CVE-2023-36844 RCEチェーンのPoCエクスプロイトコードがウェブ上で公開されているため、セキュリティ専門家は潜在的な侵入を積極的に特定するための検出コンテンツを整備する必要があります。SOC Primeプラットフォームは、内部攻撃者による可能性のあるRCEチェーンエクスプロイト試行を検出するための関連するSigmaルールを集約しています。

可能性のあるCVE-2023-36844（Juniper PHP外部変数修正）RCEチェーンエクスプロイト試行（プロキシ経由）

このルールは、18のSIEM、EDR、XDR、データレイク技術フォーマットと互換性があり、初期アクセス戦術に対応するMITRE ATT&CKフレームワークにマッピングされており、対応する技術は公開されたアプリケーションのエクスプロイト（T1190）です。

既存および新たな脆弱性のエクスプロイト試行を検出するSigmaルールの全コレクションを深く掘り下げるには、以下の「Explore Detections」ボタンを押してください。関連する検出アルゴリズムを取得し、CTIおよびMITRE ATT&CKコンテキストを含む広範なメタデータを探索できます。

検出を探索する

Juniper RCEバグチェーン攻撃分析

2023年8月19日、ジュニパーネットワークスは、Junos OSのJ-Webコンポーネントにおける新たに発見された4つの欠陥が連鎖することでRCEを引き起こす可能性があるというセキュリティ通知をリリースしました。検出された課題は、ジュニパーEXスイッチおよびSRXファイアウォールのすべてのバージョンに影響を及ぼすため、推奨事項に従うサイバー防衛者からの即時の注意が必要です。 セキュリティ速報です。

すべてのセキュリティバグは重大と見なされ、累積CVSS評価は9.8に達し、次のように分類されます。

• CVE-2023-36844およびCVE-2023-36845は、攻撃者が重要な環境変数を制御できるようにするPHP外部変数修正の脆弱性です。
• CVE-2023-36846およびCVE-2023-36847は、重要な機能のための認証が欠如している欠陥であり、脅威アクターが成功したエクスプロイト試行によってファイルシステムの整合性に影響を与えることを許可します。

ジュニパーネットワークスはこのバグチェーンを悪用した野生の攻撃がないと主張していましたが、watchTowr Labsが PoCエクスプロイトをリリースしたわずか1週間後に状況は急展開しました。たとえば、Shadowserver Foundationチームは、CVE-2023-36844やRCEチェーンの他のバグを武器化し、上記のPoCエクスプロイトを利用した一連のエクスプロイト試行を一連のIPから識別しました。これらの新しいJuniper OSの欠陥を連鎖し、武器化する洞察を提供するために、研究者はまた 技術的な詳細分析 を発行し、エクスプロイトプロセスの詳細な技術分析を提供しました。

Shadowserverチームによる研究によると、ハッカーはすでに8,000を超えるジュニパーインスタンスを侵害しており、そのほとんどのターゲットは韓国にあります。

潜在的な脅威を軽減するために、防御者は直ちにパッチを適用するか最新のJunOSバージョンにアップグレードすることを推奨しています。また、J-Webコンポーネントへのインターネットアクセスを直ちに無効にすることで、攻撃面を減少させることができます。

集団的なCTIに頼り、同僚による専門知識に基づいて研究を構築しながら、時間を節約し、絶えず変化する脅威環境の動向を掴む Uncoder AI にご依頼ください。