Scoperti quasi 12.000 firewall Juniper vulnerabili ad una recente falla RCE

Una nuova ricerca ha scoperto che circa 12.000 dispositivi firewall Juniper esposti su Internet sono vulnerabili ad una recente falla di esecuzione del codice remoto (RCE). VulnCheck, che ha scoperto una nuova modalità di sfruttamento per CVE-2023-36845, ha dichiarato che questa vulnerabilità può essere sfruttata da un attaccante remoto non autenticato per eseguire codice arbitrario sui firewall Juniper senza creare un file nel sistema.

La vulnerabilità CVE-2023-36845

Si tratta di una vulnerabilità di media gravità nel componente J-Web di Junos OS che può essere sfruttata da un attaccante per controllare certe variabili di ambiente. Juniper Networks ha rilasciato una patch per questa vulnerabilità il mese scorso insieme ad una patch per altre tre vulnerabilità, CVE-2023-36844, CVE-2023-36846 e CVE-2023-36847, in un aggiornamento straordinario.

Un exploit Proof-of-Concept (PoC)

Successivamente, l'exploit Proof-of-Concept (PoC) sviluppato da watchTowr ha combinato le vulnerabilità CVE-2023-36846 e CVE-2023-36845 per caricare un file PHP contenente shellcode dannoso ed eseguire codice arbitrario. L'ultima modalità di sfruttamento, invece, influisce su sistemi più vecchi e può essere realizzata utilizzando un singolo comando cURL. In particolare, sfrutta solo la vulnerabilità CVE-2023-36845 per raggiungere lo stesso obiettivo.

L'esecuzione del codice arbitrario

Ciò viene realizzato utilizzando lo standard input stream (aka stdin) per impostare la variabile d'ambiente PHPRC su "/dev/fd/0" tramite una richiesta HTTP appositamente creata, trasformando efficacemente "/dev/fd/0" in un file improvvisato e rilevando informazioni sensibili. L'esecuzione del codice arbitrario viene quindi ottenuta sfruttando le opzioni auto_prepend_file e allow_url_include di PHP in combinazione con il protocollo wrapper data://.