Seguir 
Adversários armam quatro novas falhas de segurança RCE descobertas no componente J-Web do Junos OS, rastreadas como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 e CVE-2023-3684. As vulnerabilidades identificadas podem ser encadeadas, permitindo que atacantes executem código arbitrário nas instâncias comprometidas. Após a divulgação de um exploit PoC para encadear as falhas do Juniper JunOS, defensores cibernéticos estão aumentando a conscientização sobre o aumento das tentativas de exploração relacionadas.
Detectar Exploit de Cadeia RCE CVE-2023-36844
Com o código de exploit prova de conceito (PoC) para a cadeia RCE CVE-2023-36844 publicamente disponível na web, profissionais de segurança precisam de conteúdo de detecção elaborado para identificar proativamente possíveis intrusões. A plataforma SOC Prime agrega uma regra Sigma relevante que ajuda a detectar possíveis tentativas de exploração de cadeia RCE por um atacante interno.
Esta regra é compatível com 18 formatos de tecnologias SIEM, EDR, XDR e Data Lake e mapeada para o framework MITRE ATT&CK abordando táticas de Acesso Inicial, com Exploit Public-Facing Application (T1190) como técnica correspondente.
Para explorar toda a coleção de regras Sigma que detectam tentativas de exploração de vulnerabilidades existentes e emergentes, pressione o botão Explorar Detecções abaixo. Pegue algoritmos de detecção relevantes e explore metadados extensos, incluindo contexto CTI e MITRE ATT&CK.
Análise do Ataque em Cadeia de Falha RCE Juniper
Em 19 de agosto de 2023, a Juniper Networks lançou um aviso de segurança alertando os defensores sobre as quatro novas falhas descobertas no componente J-Web do Junos OS que podem levar a RCE se encadeadas. Os problemas detectados afetam todas as versões dos switches EX e firewalls SRX da Juniper, o que requer atenção imediata dos defensores cibernéticos seguindo as recomendações fornecidas no boletim de segurança.
Todos os bugs de segurança são considerados críticos, com a classificação CVSS cumulativa atingindo 9,8, e podem ser agrupados da seguinte forma:
- CVE-2023-36844 e CVE-2023-36845 são vulnerabilidades de Modificação de Variável Externa PHP que permitem que invasores controlem variáveis de ambiente significativas
- CVE-2023-36846 e CVE-2023-36847 são falhas de autenticação ausente para funções críticas que permitem que agentes de ameaça impactem a integridade do sistema de arquivos em tentativas de exploração bem-sucedidas.
Embora a Juniper Networks tenha afirmado que não havia evidência de ataques in-the-wild explorando a cadeia de falhas, a situação mudou apenas uma semana após o watchTowr Labs lançar o exploit PoC, exibindo o contrário. Por exemplo, a equipe da Shadowserver Foundation identificou uma série de tentativas de exploração a partir de um conjunto de IPs armando a CVE-2023-36844 e outros bugs na cadeia RCE, tirando proveito do exploit PoC acima mencionado. Para fornecer mais insights sobre o encadeamento e armamento dessas novas falhas do Juniper OS, pesquisadores também emitiram um mergulho técnico profundo com uma análise técnica detalhada do processo de exploração.
De acordo com a pesquisa da equipe Shadowserver, hackers já comprometeram mais de 8.000 instâncias da Juniper, com a maioria dos alvos localizados na Coreia do Sul.
Para mitigar a ameaça potencial, os defensores recomendam aplicar imediatamente patches ou atualizar para a versão mais recente do JunOS. Além disso, desabilitar instantaneamente o acesso à Internet ao componente J-Web pode ajudar a reduzir a superfície de ataque.
Confie no CTI coletivo e construa sua pesquisa com base na expertise conduzida por pares com Uncoder AI enquanto economiza tempo nas suas operações diárias de segurança e mantém-se atualizado com o ambiente de ameaças em constante mudança.
