Des routeurs PTX de Juniper Networks exposés à de la prise de contrôle

Une vulnérabilité particulièrement dangereuse a été découverte permettant à des pirates d'intercepter ou de rediriger des données de routeurs PTX de Juniper Networks. Des mises à jour correctives sont à installer dès que possible.

Les administrateurs réseau qui utilisent des routeurs Juniper PTX doivent installer immédiatement un correctif, car une vulnérabilité critique récemment découverte pourrait permettre à un acteur malveillant non authentifié d'exécuter du code avec des privilèges root. Cette faille est « particulièrement dangereuse, car ces terminaux sont souvent situés au coeur du réseau, et non à l'edge », a fait savoir Piyush Sharma, CEO de Tuskira. « Si un pirate prend le contrôle d'un routeur PTX, l'impact est plus important que la compromission d'un seul équipement, car celui-ci peut devenir à la fois un point de contrôle et servir à voir le trafic. Cela ouvre la porte à l'interception furtive des flux de données, au trafic redirigé par le contrôleur ou à des pivots faciles vers les réseaux adjacents. » Ce problème affecte les modèles PTX fonctionnant avec des versions du système d'exploitation Junos OS Evolved antérieures à 25.4R1-S1-EVO et 25.4R2-EVO. Il n'affecte pas le système d'exploitation Junos OS standard. Le fournisseur a déclaré n'avoir connaissance d'aucune exploitation malveillante de cette vulnérabilité. La faille a été découverte lors de tests ou de recherches internes sur la sécurité des produits.

La gamme PTX est une série de routeurs centraux modulaires haute performance équipés de la dernière génération d'ASIC personnalisés de la famille Express de HPE Juniper Networks et optimisés pour les migrations 400G et 800G. Ils offrent des fonctionnalités natives 400G et 800G inline MACsec, une mise en mémoire tampon profonde et un filtrage flexible. Selon la société, ils sont conçus pour une longue durée de vie dans des cas d'utilisation et des scénarios de déploiement exigeants incluant les réseaux centraux, le peering, l'interconnexion, l'edge, l'agrégation de réseaux et les datacenters IA. Dans son bulletin d'alerte, Juniper Networks indique qu'une vulnérabilité liée à une attribution incorrecte des autorisations pour les ressources critiques dans le cadre de détection des anomalies on-box du système d'exploitation permet à un attaquant non authentifié, basé sur le réseau, d'exécuter du code au niveau root.

Un risque possible de contrôle total

« Le cadre de détection des anomalies on-box ne devrait être accessible qu'aux autres processus internes via l'instance de routage interne, mais pas via un port exposé à l'extérieur », ajoute l'alerte. « Grâce à la possibilité d'accéder au service et de le manipuler pour exécuter du code en tant qu'administrateur, un pirate distant peut prendre le contrôle total de l'équipement. » Pour résoudre le problème, les administrateurs doivent s'assurer que la version 25.4R1-S1-EVO de Junos OS Evolved est installée. Ils doivent également noter que les versions 25.4R2-EVO et 26.2R1-EVO sont en cours de développement. Si la mise à jour ne peut pas être installée immédiatement, les administrateurs doivent utiliser des listes de contrôle d'accès ou des filtres de pare-feu pour limiter l'accès aux seuls réseaux et hôtes de confiance, afin de réduire le risque d'exploitation de ce problème. Veillez à ce que ces filtres n'autorisent que les connexions explicitement requises et bloquent toutes les autres. Une autre option consiste à désactiver le service en entrant la commande request pfe anomalies disable dans la ligne de commande du système d'exploitation.

Piyush Sharma a déclaré que les failles affectant Juniper Networks ont attiré l'attention de nombreux pirates informatiques au fil des ans en raison du positionnement privilégié que confèrent ces routeurs lorsqu'ils parviennent à s'implanter durablement. « En tant que système d'exploitation réseau, Junos se trouve au carrefour de points de contrôle majeurs tels que l'identité, la politique et le trafic, ce qui signifie qu'une seule exploitation peut rapidement se propager à travers des réseaux précieux », a-t-il déclaré. « De plus, ces points d'ancrage offrent aux attaquants une fenêtre plus longue pour trouver et exploiter les appareils vulnérables, car il est difficile d'appliquer des correctifs aux équipements réseau centraux en raison des longs temps d'arrêt. » Pour empêcher que des vulnérabilités telles que la faille actuelle ne soient exploitées, les entreprises ont besoin d'une plateforme de défense capable de surveiller en permanence les anomalies sur les réseaux et d'alerter les équipes de sécurité lorsqu'un comportement malveillant est détecté, a-t-il ajouté.

La divulgation de cette vulnérabilité intervient alors que la société mère de Juniper Networks, HPE, s'apprête à présenter les nouvelles gammes de routeurs PTX12000 et PTX10002 lors du Mobile World Congress qui se tient cette semaine à Barcelone.