Juniper Networks rolt updates uit voor enkele Smart Routers. Snel installeren is de boodschap, want de updates dichten grote en ernstige lekken.
Routers van Juniper Networks zijn getroffen door een kritiek lek. Bug CVE-2024-2973 scoort tien op tien op zowel CVSS 3.1 als CVSS 4. Die uitzonderlijke score illustreert hoe kritiek de kwetsbaarheid is.
Getroffen toestellen
Het lek treft routers die opgesteld zijn in een high-availability-configuratie. Het laat aanvallers op het netwerk toe om authenticatie compleet te omzeilen, en zo de controle over de toestellen volledig over te nemen. Volgende toestellen en firmware zijn kwetsbaar volgens Juniper:
Session Smart Router:
- Alle versies ouder dan 5.6.15,
- Vanaf 6.0 tot voor versie 6.1.9-lts,
- Vanaf 6.2 tot voor versie 6.2.5-sts.
Session Smart Conductor:
- Alle versies ouder dan 5.6.15,
- Vanaf 6.0 tot voor versie 6.1.9-lts,
- Vanaf 6.2 tot voor versie 6.2.5-sts.
WAN Assurance Router:
- Vanaf 6.0 tot voor versie 6.1.9-lts,
- Vanaf 6.2 tot voor versie 6.2.5-sts.
Juniper heeft naar eigen zeggen nog geen weet van actief misbruik. De bug kan echter een krachtige tool zijn voor aanvallers, die via de routers verregaande controle over het netwerk kunnen verwerven.
Gebruikers moeten zo snel mogelijk updaten naar de firmware SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts, of recenter. Voor MIST-beheerde WAN Assurance-routers verbonden met de MIST-cloud, heeft Juniper de patch al automatisch doorgevoerd.