La Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) de EE.UU. ha emitido una alerta de seguridad para advertir a los usuarios y administradores de sistemas de una vulnerabilidad crítica de ejecución remota de código (RCE) en el sistema operativo Junos de Juniper Networks. Esta vulnerabilidad, identificada como CVE-2023-1631, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios en el dispositivo afectado sin necesidad de autenticación previa.
La vulnerabilidad se debe a una condición de carrera en el servicio de autenticación de Junos, que puede provocar una corrupción de memoria y una escritura fuera de límites. Un atacante puede aprovechar esta vulnerabilidad enviando paquetes especialmente diseñados al puerto TCP 49 del dispositivo objetivo, lo que puede resultar en una denegación de servicio (DoS) o la ejecución de código malicioso con privilegios de root.
Según Juniper Networks, la vulnerabilidad afecta a las versiones de Junos OS 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 17.3, 17.4, 18.1, 18.2, 18.2X75, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2 y 20.3. Los dispositivos afectados incluyen las series EX, MX, QFX, PTX, ACX, SRX y NFX.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
CISA instó a las agencias federales a asegurar dispositivos Juniper en sus redes, frente a cuatro vulnerabilidades que están siendo explotadas en ataques de ejecución remota de código (RCE) como parte de una cadena de explotación previa a la autenticación. Esta alerta sigue a una actualización de Juniper hace una semana, informando a los clientes que ciertas fallas en la interfaz J-Web de Juniper (identificadas como CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, y CVE-2023-36847) están siendo activamente explotadas.
"Juniper SIRT ahora ha confirmado la explotación exitosa de estas vulnerabilidades. Se recomienda encarecidamente a los clientes actualizar sus sistemas de inmediato", anunció la compañía. Estas advertencias surgen tras el informe de ShadowServer, un servicio de monitoreo de amenazas, que comenzó a detectar intentos de explotación desde el 25 de agosto, una semana después de que Juniper lanzara parches de seguridad y justo cuando los investigadores de watchTowr Labs publicaron una prueba de concepto (PoC) para el exploit.
Según Shadowserver, hay más de 10.000 dispositivos Juniper con interfaces J-Web vulnerables expuestas en línea, siendo Corea del Sur el país más afectado (Shodan reporta más de 13.600 dispositivos Juniper accesibles desde Internet). Se aconseja a los administradores proteger urgentemente sus dispositivos actualizando a la versión más reciente de JunOS o, como mínimo, restringir el acceso a Internet de la interfaz J-Web para eliminar el vector de ataque.
"Dada la facilidad de explotación y el rol crítico que los dispositivos JunOS juegan en las redes, no sería sorprendente ver una explotación a gran escala", comentaron los investigadores de watchTowr Labs en agosto. "Aquellos que operan un dispositivo afectado deben actualizar a una versión con parche lo antes posible y/o desactivar el acceso a la interfaz J-Web si es factible".
CISA ha ordenado que las agencias federales apliquen los parches antes del 17 de noviembre. Además, CISA añadió las cuatro vulnerabilidades de Juniper que están siendo explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas, marcándolas como "vectores de ataque comunes para actores cibernéticos malintencionados" y representando "riesgos significativos para la empresa federal".
Con su inclusión en la lista KEV de CISA, las Agencias del Poder Ejecutivo Civil Federal de EE.UU. (FCEB) ahora deben asegurar los dispositivos Juniper en sus redes dentro de un plazo limitado, siguiendo una Directiva Operativa Vinculante (BOD 22-01) emitida hace un año.
Tras la actualización de hoy del catálogo KEV, las agencias federales deben completar la actualización de todos los dispositivos Juniper en los próximos cuatro días, antes del 17 de noviembre. Aunque BOD 22-01 está dirigida principalmente a las agencias federales de EE.UU., CISA recomienda enfáticamente a todas las organizaciones, incluidas las empresas privadas, priorizar la aplicación de parches a estas vulnerabilidades lo antes posible.
Te podría interesar leer: Monitoreo de Redes Juniper con OpManager
Una vulnerabilidad de ejecución remota de código (RCE) es un tipo de vulnerabilidad que permite a un atacante ejecutar comandos o programas en un sistema remoto sin tener acceso físico o autorización al mismo. Esto puede dar lugar a la toma de control total del sistema, la exfiltración de datos sensibles, la instalación de malware o la realización de otras acciones maliciosas.
Las vulnerabilidades de RCE suelen deberse a errores de programación, configuraciones inseguras o falta de validación de las entradas. Algunos ejemplos de vulnerabilidades de RCE son los desbordamientos de búfer, la inyección de código, la deserialización insegura o el uso de componentes obsoletos o vulnerables.
Para prevenir o mitigar las vulnerabilidades de RCE, se recomienda seguir las siguientes medidas:
Te podría interesar leer: Comprendiendo los Ataques de Remote Code Execution (RCE)
Seguir las prácticas de desarrollo seguro, como la programación defensiva, la validación de las entradas, el uso de bibliotecas y frameworks seguros o la revisión por pares del código.
La advertencia de la CISA sobre la vulnerabilidad RCE en dispositivos Juniper destaca la necesidad de una vigilancia constante en el campo de la ciberseguridad. Las organizaciones deben tomar medidas proactivas para proteger sus redes y sistemas. Mantenerse informado sobre las últimas amenazas y vulnerabilidades, y actuar rápidamente para mitigar los riesgos, es esencial para mantener la seguridad y la integridad de los sistemas de información críticos.