10万以上のジュニパーファイアウォール漏洩、RCE脆弱性のバグチェーンにご注意
ジュニパーネットワークス(Juniper Networks)とは、ネットワークセキュリティの業界で最も古く、有名なエンタープライズベンダーであり、特にジュニパーSRXファイアウォールシリーズは次世代ファイアウォールとして知られています。このような歴史と人気のあるデバイスであるほど、多くの人に広く使用されているため、世界中たくさんの企業の社内ネットワークでジュニパーのデバイスを見かけることは珍しくありません。
ジュニパーネットワークスのユーザーは、ファイアウォールやデバイスにアクセスするために専用のOSであるJunos OSのJ-Webを使用しますが、J-WebはPHPベースのWebコンソールであり、ブラウザでアクセスすることができます。最近、ジュニパーネットワークスはJ-Webに関連する4つの脆弱性(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)を発表しました。この脆弱性のそれぞれのCVSSスコアは5点台に過ぎず、一見すると危険ではないように見えますが、これらの脆弱性を組み合わせると連鎖反応でRCE(Remote Code Execution、リモートコード実行)攻撃まで可能な非常に深刻な脆弱性です。CVSSv3内で評価されたこの脆弱性の統合スコアは9.8点です。
<RCE脆弱性に漏洩されているJ-Webジュニパーファイアウォールの管理システム>
ジュニパーファイアウォールおよびスイッチに影響を与えるバグチェーン
ジュニパーネットワークスのデバイスのうち、EXシリーズはスイッチを意味し、SRXシリーズはファイアウォールを指します。今回公開された脆弱性は、この2つのプラットフォームに以下のように影響します。
- CVE-2023-36846およびCVE-2023-36847(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OSにある重要な機能に対する2つの認証欠落の脆弱性です。これにより、認証されていないネットワークベースの攻撃者がシステムに限定的な影響を与えることができます。
- CVE-2023-36844およびCVE-2023-36845(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OS J-Webに存在する2つのPHP外部変数変更の脆弱性です。これにより、認証されていないネットワークベースの攻撃者が特定の重要な環境変数をコントロールすることができます。
CVE-2023-36846およびCVE-2023-36847(5.3のCVSSスコア)は、J-Webを介して攻撃者が任意のファイルをアップロードできる脆弱性です。しかし、ファイルがアップロードされるだけで、追加の問題は発生しないため、CVSS 5.3点のような高くないスコアが付与されました。次にCVE-2023-36844およびCVE-2023-36845(5.3のCVSSスコア)はPHPの外部変数を変更できる脆弱性です。これもPHPの設定を変更してもシステムに大きな影響を与えることは難しく、CVSS 5.3点が付与されました。
個々の脆弱性は5点台の中間レベルであり、独立して存在する限り大きな脅威にはなりません。しかし、最初の脆弱性で任意のファイルをアップロードし、二つ目の脆弱性でアップロードしたファイルに関連するPHPのプロパティを変更すると、バグチェーンで互いに融合し、RCE効果を出せます。このように欠陥を組み合わせることに成功すると、攻撃者は認証されていないネットワーク基盤でリモートコードを実行することができるようになります。このため、CVEのCVSSスコアが5点台から9点台に上がりました。
オンラインに漏洩された10万台以上のジュニパーファイアウォール
ジュニパーファイアウォールのようなジュニパーネットワークスの製品は、既に攻撃対象領域にたくさん漏洩されています。
Criminal IPのIT資産検索でジュニパーネットワークスのJ-Webに使用されるWebサーバーのタイトルを検索すると、オンラインで漏洩されているサーバーを見つけることができます。
Search Query: title: Juniper Web Device Manager
<Criminal IPのIT資産検索に検索で見つけたオンラインに漏洩されている19万以上のジュニパーデバイス>
検索結果を見ると、19万以上のジュニパーネットワークスのJ-Webがオンラインに漏洩されていることがわかります。RCEバグチェーン脆弱性のエクスプロイトが公開された現在、アクセスしやすく漏洩されているこれらのサーバーはハッカーの第一攻撃狙いになる可能性が高いです。
<検索されたIPアドレスのオープンポート情報、TCP 443ポートでJ-Webが稼働されている>
ジュニパーネットワークスは以前から多くの脆弱性に悩まされており、攻撃者はこの脆弱性を頻繫に悪用しています。この点を利用して、ジュニパーネットワークスを装ったハニーポットも多数存在します。
以下のIPアドレスは、合計488個のポートが開いており、その中にはジュニパーネットワークスのJ-Webを装ったWebデーモンも稼働されています。(このハニーポットのIPアドレスには、フォーティネット(Fortinet)、パロアルト(Palo Alto)などのWebコンソールデーモンも稼働されています。)
<オンラインに漏洩されたJ-Webサーバーに混在しているハニーポットサーバーのIPアドレス情報>
RCE脆弱性を解決策、CISAが強調した攻撃対象領域を減らす
2023年6月、CISAはアメリカの連邦政府機関にジュニパーファイアウォールおよびスイッチデバイスなどのように、インターネットに漏洩されたり、設定ミスのネットワークデバイスに対して2週以内に保護対応するという今年初の拘束力のある運用ガイドライン(BOD)を下した。CISAは、「このガイドラインは、連邦行政機関(FCEB)に、特定のデバイス全体に対して安全でないまたは誤って設定された管理インターフェースによって引き起こされる攻撃対象領域を減らすために措置を講じるよう要求する」と述べました。
<CISAがアメリカ連邦政府機関に下した漏洩された攻撃対象領域を管理するための運用ガイドライン>
ジュニパーファイアウォールとスイッチのバグチェーンエクスプロイトを防ぐ方法は、CISAの運営ガイドラインをそのまま反映すれば良いです。
使用中のJ-Webインターフェースを無効化したり、アクセスを制限することです。企業または機関で使用するファイアウォール、スイッチなどのデバイスは、外部からアクセスできないように徹底的に外部インターネットとの漏洩接点をなくす必要があります。
むろん、影響を受けるデバイスを実行するユーザーは、できるだけ早くパッチバージョンにアップデートすることが重要です。
関連しては、深刻なパッチ遅れでエクスプロイト可能なフォーティゲートファイアウォールが4千6百以上漏洩されたCVE-2023-27997脆弱性に関する投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。
只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照: