Site categories All
#juniper
Компания Juniper Networks внимательно следит за кризисом в Украине, чтобы определить, как лучше поддержать наших клиентов, партнеров и сотрудников в этот период неопределенности.

Компания Juniper и ее сотрудники внесли свой вклад в поддержку гуманитарной деятельности в Украине и соседних странах. Кроме того, мы создали службы поддержки сотрудников, чтобы обеспечить безопасность и переезд наших сотрудников и их семей, находящихся в Украине.

Компания Juniper приостановила все продажи, поставки продукции и услуги поддержки для клиентов в России и Беларуси до дальнейшего уведомления. Juniper продолжит оказывать поддержку нашим клиентам и партнерам в Украине, за исключением Донецкой, Луганской областей и Крыма.

Juniper поддерживает наших сотрудников как в Украине, так и в России, и вместе со многими нашими коллегами призывает к восстановлению мира и безопасности.

Rami Rahim, CEO, Juniper Networks 
Эксплуатация проблем позволяет вводить команды в httpd.log, получать права доступа или токены сеансов J-Web.

Производитель телекоммуникационного оборудования для интернет-провайдеров, корпораций и государственного сектора Juniper Networks выпустил внеплановое обновление безопасности для операционной системы Junos OS, исправляющее несколько проблем в web-сервисах и интерфейсе J-Web, объединенных под одним идентификатором CVE (CVE-2020-1631). Эксплуатация проблем позволяет злоумышленнику вводить команды в httpd.log, читать файлы с разрешением на чтение «world» или получать токены сеансов J-Web.

Как сообщила компания, наиболее опасной является проблема, связаннная с токеном сеанса J-Web, получившая оценку в 8,8 балла по шкале CVSS. Если J-Web включен на устройстве, злоумышленник может получить тот же уровень доступа, что и любой авторизованный пользователь (например, права администратора).

Другая проблема затрагивает версии Junos OS 19.3R1 и старше, ее эксплуатация позволяет неавторизованному злоумышленнику прочитать файл конфигурации.

Эксплуатация третьей проблемы позволяет злоумышленнику вводить команды в httpd.log. Однако влияние данной проблемы более ограничено, поскольку служба HTTP имеет права как у пользователя «nobody».

Уязвимость не затрагивает устройства под управлением Junos OS с отключенными сервисами HTTP/HTTPS, но содержится в следующих версиях ОС: 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 17.2, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, и 20.1. Сетевым администраторам рекомендуется обновить уязвимые устройства до последних версий программного обеспечения.
Компания Juniper Networks исправила уязвимость (CVE-2019-0034) в своих сетевых коммутаторах для дата-центров. Проблема заключалась в наличии вшитых учетных данных в программном инструменте Junos Network Agent, предназначенном для управления датчиками и другими устройствами для мониторинга производительности сетей. Если говорить точнее, вшитые учетные данные были обнаружены в компоненте Google gRPC, используемом с Junos Telemetry Interface.

«В используемых gRPC конфигурационных файлах были обнаружены неизменяемые учетные данные, которые могли использоваться Junos Network Agent для неавторизованного чтения некоторых некритических данных (информации с датчиков). Кроме того, API, доступные через Juniper Extension Toolkit (JET), могут выполнять на устройстве некритические операции 'set'», – говорится в уведомлении Juniper Networks.

Хотя уязвимые компоненты могут входить в Junos, вшитые учетные данные есть только в сетевых коммутаторах, на которых работает Telemetry Interface с Junos Network Agent. Устройства без Junos Network Agent уязвимости не подвержены.

Администраторы могут проверить Network Agent на наличие уязвимости, введя команду user@junos> show version | grep na\ telemetry и проверив выходные данные user@junos>JUNOS na telemetry [17.3R3-S3.3]. В случае обнаружения проблемы настоятельно рекомендуется установить последнюю версию прошивки. Впрочем, установка обновлений желательна в любом случае.
Крупнейший украинский оператор фиксированной телефонной связи «Укртелеком» с 1 марта 2017 года прекратил обслуживание абонентов на территориях, контролируемых террористическими организациями «Донецкая народная республика (ДНР)» и «Луганская народная республика (ЛНР)» в связи с решением главарей террористов о национализации работающих в этих регионах украинских предприятий. В результате без телефонной связи и интернета осталось порядка 200 тыс. жителей.