November 24, 2024

มีช่องโหว่ร้ายแรงมากบน Juniper Junos OS ที่กระทบอุปกรณ์เครือข่ายระดับองค์กร

มีการเปิดเผยช่องโหว่ระดับร้ายแรงมากหลายรายการบนอุปกรณ์ของ Juniper Networks ที่อาจทำให้เข้าไปรันโค้ดอันตรายได้ ที่ร้ายแรงที่สุดได้แก่ช่องโหว่แบบ Deserialization ของไฟล์ Archive บน PHP แบบยืนยันตนล่วงหน้าจากระยะไกล

เป็นช่องโหว่ภายใต้รหัส CVE-2022-22241 คะแนนความร้ายแรงอยู่ที่ 8.1 ตามสเกลของ CVSS พบในส่วนของ J-Web บน Junos OS อ้างอิงตามที่นักวิจัย Paulos Yibelo จาก Octagon Networks ระบุ เป็นช่องโหว่ที่เปิดให้ถูกโจมตีจากภายนอกได้โดยไม่ต้องยืนยันตัวตน

Yibelo ย้ำในรายงานที่แชร์ให้สำนักข่าว The Hacker News ว่า “ช่องโหว่นี้ทำให้สามารถเข้าไปเขียนไฟล์อันตรายเพื่อทำการรันโค้ดอันตรายจากระยะไกล” นอกจากตัวนี้แล้วก็มีช่องโหว่อย่าง CVE-2022-22242 (CVSS score: 6.1) ที่เป็น XSS บนหน้า error.php

หรือ CVE-2022-22243 (CVSS score: 4.3) และ CVE-2022-22244 (CVSS score: 5.3) ที่เป็นช่องโหว่แบบ XPATH Injection ที่เปิดให้ผู้โจมตีจากระยะไกลที่ยืนยันตนได้ สามารถจารกรรมและควบคุมเซสชั่นแอดมินบน Junos OS ได้ เป็นต้น

อ่านเพิ่มเติมที่นี่ – THN