Juniper SRXおよびEXシリーズにおけるJunos OSの脆弱性を狙った攻撃

　今月は、新たにJuniper NetworksのJunos OSの脆弱性を狙った攻撃を観測しました。本脆弱性は、今年8月に公開された複数の脆弱性で（CVE-2023-36851は9月に追加公開）、SRXシリーズおよびEXシリーズが影響対象となっています。これらの脆弱性が悪用された場合、認証なしにリモートからコードを実行されてしまう恐れがあります。

　本脆弱性を狙った攻撃数の推移および攻撃元国は以下の通りです。弊社SOCでは、9/13(水)から攻撃を検知しており、攻撃元の大半はマレーシアからとなっていました。

図. Junos OSの複数の脆弱性を狙った攻撃の検知数推移（2023年9月）

　下図は、弊社SOCで検知した攻撃のパケットペイロードの一部です。本攻撃は、CVE-2023-36845の脆弱性を悪用して/etc/passwdへのアクセスを試みた通信となっています。該当製品を利用している場合は、早急に最新のバージョンにアップデートすることをお勧めします。

影響対象

• Junos OS 20.4R3-S9 より前のすべてのバージョン
• Junos OS 21.1 バージョン1R1 以降のバージョン
• Junos OS 21.2R3-S7 より前の2 バージョン
• Junos OS 21.3R3-S5 より前の3 バージョン
• Junos OS 21.4R3-S5 より前の4 バージョン
• Junos OS 22.1R3-S4 より前の1 バージョン
• Junos OS 22.2R3-S2 より前の2 バージョン
• Junos OS 22.3R2-S2, 22.3R3-S1 より前の3 バージョン
• Junos OS 22.4R2-S1, 22.4R3 より前の4 バージョン
• Junos OS 23.2R1-S1, 23.2R2 より前の2 バージョン

対策方法

• 最新のバージョンにアップデートしてください。
  

参考情報

• 2023-08 Out-of-Cycle Security Bulletin: Junos OS: SRX Series and EX Series: Multiple vulnerabilities in J-Web can be combined to allow a preAuth Remote Code Execution
  https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US
• CVE-2023-36844
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36844
• CVE-2023-36845
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36845
• CVE-2023-36846
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36846
• CVE-2023-36847
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36847
• CVE-2023-36851
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36851