Vulnerabilidad en LDAP y Active Directory de dispositivos de la serie SRX que utilizan Juniper Networks Junos OS (CVE-2017-2343)

La función Integrated User Firewall (UserFW) fue introducida en Junos OS versión 12.1X47-D10 en los dispositivos de la serie SRX de Juniper para proporcionar una integración sencilla de los perfiles de usuario en la parte superior de las políticas de firewall existentes. Como parte de una revisión de seguridad interna de la API de autenticación de servicios UserFW, se identificaron y eliminaron las credenciales codificadas, lo que puede impactar tanto al dispositivo de la serie SRX como a los puntos integrados de LDAP y Active Directory. Un atacante puede poner en peligro completamente los dispositivos de la serie SRX, así como los servidores y servicios de Active Directory. Cuando Active Directory se ve comprometido, puede permitir el acceso a credenciales de usuario, estaciones de trabajo, servidores que realizan otras funciones como correo electrónico, base de datos, etc. Las implementaciones de Active Directory entre bosques también pueden estar en riesgo, ya que el atacante puede alcanzar el control administrativo total sobre uno o más directorios activos en función de las credenciales proporcionadas por el administrador de los dominios de AD y los dispositivos SRX que realizan autenticación integrada de usuarios, grupos y dispositivos. Para identificar si su dispositivo es potencialmente vulnerable a la explotación, compruebe si el servicio está funcionando; de la revisión de la CLI de la siguiente salida: root@SRX-Firewall#, ejecutar show services user-identification active-directory-access domain-controller status extensive Un resultado de "Status: Connected” indicará que el servicio está activo en el dispositivo. Para evaluar si la autenticación de usuario se está produciendo por medio del dispositivo: root@SRX-Firewall#, ejecutar show services user-id active-directory-access active-directory-authentication-table all Next revise los resultados para visualizar si los usuarios y grupos válidos son devueltos. e.g. Dominio: juniperlab.com Total de entradas: 3 Grupos de nombres de usuario IP de origen estado 172.16.26.1 administrador válido 192.168.26.2 ingenieros engg01 válidos 192.168.26.3 invitado Dominio válido: ENTRADAS totales NULL: 8 grupos de nombres de usuario IP de origen estado 192.168.26.4 192.168.26.5 No válido Esto también indicará que los usuarios y grupos válidos se autentican por medio del dispositivo. Las versiones afectadas son Juniper Networks Junos OS versión 12.3X48 de 12.3X48-D30 y anteriores a versión 12.3X48-D35 en la serie SRX; versión 15.1X49 de 15.1X49-D40 y anterior a 15.1X49-D50 en la serie SRX. Los dispositivos de cualquier versión de Junos OS versión 12.1X46 o 12.1X47 no están afectados por este problema.