Την περασμένη εβδομάδα, η Juniper Networks κυκλοφόρησε μία ανακοίνωση σύμφωνα με την οποία ενημερώνει τους πελάτες της ότι έχει επιδιορθώσει ορισμένες ευπάθειες στα προϊόντα της, οι οποίες θα μπορούσαν να οδηγήσουν σε επιθέσεις DoS.
Η εταιρεία έχει δημοσιεύσει πάνω από μία ντουζίνα προειδοποιήσεις με τις οποίες περιγράφει τις ευπάθειες που έχουν εντοπιστεί στα συστήματά της, καθώς και δεκάδες ελαττώματα που επηρεάζουν στοιχεία τρίτων.
Στο μεγαλύτερο μέρος τους, τα ελαττώματα επηρεάζουν το Junos OS. Ωστόσο υπάρχουν και ορισμένα που επηρεάζουν το Juniper Secure Analytics, το Junos Space και το Junos Space Security Director.
Ένα από τα σοβαρότερα ελαττώματα που εντοπίστηκαν στο λογισμικό της Juniper, είναι το CVE-2020-1647, ένα κρίσιμο double free που επηρεάζει τα τείχη προστασίας της σειράς SRX με ενεργοποιημένη την υπηρεσία ανακατεύθυνσης ICAP. Μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να ξεκινήσει μία επίθεση DoS ή να εκτελέσει αυθαίρετο κώδικα, στέλνοντας ειδικά κατασκευασμένα μηνύματα HTTP.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Ωστόσο και το CVE-2020-1654 θεωρείται εξίσου κρίσιμο, αφού μπορεί επίσης να οδηγήσει σε επιθέσεις DoS ή εκτέλεση απομακρυσμένου κώδικα.
Περίπου έξι από τις ευπάθειες, έχουν βαθμολογηθεί ως υψηλής σοβαρότητας και μπορούν να χρησιμοποιηθούν για την πραγματοποίηση επιθέσεων DoS και συνεχιζόμενων επιθέσεων. Τα ελαττώματα μέτριας σοβαρότητας μπορούν επίσης να αξιοποιηθούν για επιθέσεις DoS.
Η Juniper Networks δήλωσε ότι καμία από τις ευπάθειες δεν έχει εκμεταλλευτεί από κακόβουλους παράγοντες για την πραγματοποίηση επιθέσεων.
Η εταιρεία έχει επίσης αντιμετωπίσει δεκάδες ευπάθειες που επηρεάζουν στοιχεία τρίτων, συμπεριλαμβανομένων ζητημάτων που επιλύθηκαν πριν από χρόνια από τους προγραμματιστές τους. Η λίστα περιλαμβάνει OpenSSL, Intel firmware, Bouncy Castle, Java SE, λογισμικό Apache και άλλα.
Τον προηγούμενο μήνα, περισσότεροι από 12 αξιωματούχοι των ΗΠΑ έστειλαν μία επιστολή στην Juniper, ρωτώντας σχετικά με τα αποτελέσματα της έρευνας που είχε διεξάγει το 2015, μετά την ανακάλυψη ενός backdoor στα προϊόντα της. Η εταιρεία έχει ένα μήνα για να απαντήσει σε οχτώ ερωτήματα και η προθεσμία που έχει για να δώσει τις απαντήσεις της λήγει την Παρασκευή.