Siber Muhbir

Çok sayıda rapora göre Juniper güvenlik duvarlarını, Openfire ve Apache RocketMQ sunucularını etkileyen yakın zamanda açıklanan güvenlik kusurları vahşi ortamda aktif olarak istismar ediliyor.

Shadowserver Vakfı, aynı gün bir kavram kanıtlamanın (PoC) kullanıma sunulduğu gün "Juniper J-Web CVE-2023-36844 (ve arkadaşları) için /webauth_operation.php uç noktasını hedefleyen birden fazla IP'den yararlanma girişimleri görüldüğünü" söyledi.

CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 ve CVE-2023-36847 olarak takip edilen sorunlar Juniper SRX ve EX Serisindeki Junos OS'nin J-Web bileşeninde bulunmaktadır. Kimliği doğrulanmamış, ağ tabanlı bir saldırgan tarafından hassas kurulumlarda rastgele kod yürütmek üzere zincirlenebilirler.

Kusura yönelik yamalar 17 Ağustos 2023'te yayınlandı; bundan bir hafta sonra watchTowr Labs, kötü amaçlı kabuk kodu içeren bir PHP dosyasını yürütmek için CVE-2023-36846 ve CVE-2023-36845'i birleştirerek bir kavram kanıtını (PoC) yayınladı.

Şu anda, çoğu Güney Kore, ABD, Hong Kong, Endonezya, Türkiye ve Hindistan'dan gelen, J-Web arayüzleri internete açık olan 8.200'den fazla Juniper cihazı bulunmaktadır.