Vulnerabilidad en Firewall Authentication Pass-Through con Web-Redirect, y Zero Touch Provisioning (ZTP) en dispositivos de Juniper Networks Junos OS (CVE-2020-1631)

Una vulnerabilidad en el servicio HTTP/HTTPS usado por J-Web, Web Authentication, Dynamic-VPN (DVPN), Firewall Authentication Pass-Through con Web-Redirect, y Zero Touch Provisioning (ZTP), permite a un atacante no autenticado realizar la inclusión local de archivos (LFI) o un Salto de Ruta. Al usar esta vulnerabilidad, un atacante es capaz de inyectar comandos en httpd.log, leer archivos con un archivo de permiso legible por el "world" u obtener tokens de sesión J-Web. En el caso de una inyección de comandos, dado que el servicio HTTP se ejecuta como usuario "nobody", el impacto de esta inyección es limitado. (Puntuación CVSS 5.3, vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) En el caso de leer archivos "world" con permiso legible, en Junos OS 19.3R1 y posteriores, el atacante no autenticado podría ser capaz de leer el archivo de configuración. (Puntuación CVSS 5.9, vector CVSS: 3.1/ AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N). Si J-Web está habilitado, el atacante puede conseguir el mismo nivel de acceso de cualquiera que haya iniciado sesión en J-Web. Si un administrador inicia sesión, el atacante puede conseguir acceso de administrador a J-Web. (Puntuación CVSS 8.8, Vector CVSS: 3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) Esto solo afecta a dispositivos de Juniper Networks Junos OS con servicios HTTP/HTTPS habilitados. Los dispositivos de Junos OS con servicios HTTP/HTTPS deshabilitados no están afectados. Si los servicios HTTP/HTTPS están habilitados, el siguiente comando mostrará los procesos httpd: user@device) show system processes | match http 5260 - S 0:00.13 /usr/sbin/httpd-gk -N 5797 - I 0:00.10 /usr/sbin/httpd --config /jail/var/etc/httpd.conf Resumiendo: si los servicios HTTP/HTTPS están deshabilitados, no se presenta impacto de esta vulnerabilidad. Si los servicios HTTP/HTTPS están habilitados y J-Web no está en uso, esta vulnerabilidad posee una puntuación CVSS 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N). Si J-Web está habilitado, esta vulnerabilidad posee una puntuación CVSS 8.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H). Juniper SIRT ha recibido un solo reporte de esta vulnerabilidad siendo explotada “in the wild”. Sin exagerar en precaución, estamos notificando a los clientes para que puedan tomar las medidas apropiadas. Indicadores de compromiso: El /var/log/httpd.log puede tener indicadores de que comandos han inyectado o los archivos que están siendo accedidos. El administrador del dispositivo puede buscar estos indicadores mediante la búsqueda de los patrones de cadena "=*;*&" o "*%3b*&" en /var/log/httpd.log, usando el siguiente comando: user @ Device)show log httpd.log | match "=*;*&|=*%3b*&". Si el comando devuelve resultado, puede ser una indicación de intentos maliciosos o simplemente actividades de exploración. Los registros rotados también deben revisarse, utilizando el siguiente comando: user@device> show log httpd.log.0.gz | match "=*;*&|=*%3b*&" user@device) show log httpd.log.1.gz | match "=*;*&|=*%3b*&". Tome en cuenta que un atacante experto eliminaría estas entradas del archivo de registro local, eliminando así cualquier firma segura de que el dispositivo había sido atacado. Este problema afecta a Juniper Networks Junos OS 12.3 anteriores a 12.3R12-S16; 12.3X48 anteriores a 12.3X48-D101, 12.3X48-D105; 14.1X53 anteriores a 14.1X53-D54; 15.1 anteriores a 15.1R7-S7; 15.1X49 anteriores a 15.1X49-D211, 15.1X49-D220; 16.1 anteriores a 16.1R7-S8; 17.2 anteriores a 17.2R3-S4; 17.3 anteriores a 17.3R3-S8; 17.4 anteriores a 17.4R2-S11, 17.4R3-S2; 18.1 anteriores a 18.1R3-S10; 18.2 anteriores a 18.2R2-S7, 18.2R3-S4; 18.3 anteriores a 18.3R2-S4, 18.3R3-S2; 18.4 anteriores a 18.4R1-S7, 18.4R3-S2; 18.4 18.4R2 y posteriores; 19.1 anteriores a 19.1R1-S5, 19.1R3-S1; 19.1 19.1R2 y posteriores; 19.2 anteriores a 19.2R2; 19.3 anteriores a 19.3R2-S3, 19.3R3; 19.4 anteriores a 19.4R1-S2, 19.4R2; 20.1 anteriores a 20.1R1-S1, 20.1R2.