| CVE編號 | CVE-2018-0001 CVE-2018-0002 CVE-2018-0003 CVE-2018-0004 CVE-2018-0005 CVE-2018-0006 CVE-2018-0007 CVE-2018-0008 CVE-2018-0009 CVE-2018-0010 CVE-2018-0011 CVE-2018-0012 CVE-2018-0013 CVE-2018-0014 |
|---|---|
| 解決辦法 | (1)官方已發布修補檔,連結為https://www.juniper.net/support/downloads/,利用By Series或By Technology兩種下拉選單分類搜尋所需。 (2)避免記憶體use-after-free記憶體,應取消Disable J-Web或僅開放信任對象連線。 (3)停用Disable IPv4 ALG,暫時阻止flowd背景程式發生memory corruption。 (4)移除MPLS組態區段,禁止MPLS封包進入設備,保護kernel。 (5)可取消MAC move limit限制,避免QFX及EX系列交換器觸發漏洞,然非萬全之策,恐惡化網路環境。 (6)啟用靜態型VLAN,解決動態型VLAN之BBE訂戶管理程式無法過載VLAN驗證之問題。 (7)為阻擋惡意LLDP封包攻擊,可設定停用LLDP daemon;建立過濾機制;以白名單縮減攻擊來源。 (8)設定禁止UUID以0開頭,避免防火牆被bypass。 |
| 張貼日 | 2018-01-12 |
| 上稿單位 | TWCERT/CC |
●概述:
本月Juniper公開漏洞,影響多款硬體型號及數十版軟體,已開放之網路設備作業系統Junos OS系列,具有使用釋放記憶體弱點,易遭RCE攻擊,啟用IPv4應用層閘道、MPLS、MAC move limit、BBE訂戶管理程式、LLDP相關功能皆可觸發DoS事件,而commit script會造成強制連線實體控制台始得開機,通用唯一識別碼管理規則若同意UUID以”0”開頭則導致流量避開安全過濾而放行;Junos Space用於自動故障識別、資料日誌蒐集等立即服務,其缺陷為回應式XSS恐洩漏個資,用戶可越權使用SSH存取,本機駭客能提升至root身分且取得任意檔案;ScreenOS被應用在NetScreen系列防火牆與Juniper安全服務閘道(SSG)等高階安全設備上,存在Etherleak漏洞,部分封包會內含與己無關資料;原廠就相關版本軟體提供對應之安全更新。
●編註:
(1)多版Junos OS計9項漏洞
(1-1)未驗證身分之遠端攻擊者,可利用舊版PHP的use-after-free記憶體控制缺點,對運作J-Web程序之PHP網頁注入變造資料,以觸發Remote Code Execution。
(1-2)在MX和SRX系列設備上,只要帶有PIC服務且啟用IPv4應用層閘道(ALG:Application Layer Gateway),來管理FTP、BitTorrent、SIP、RTSP、即時通之類檔案傳遞行為,該等設備處理加工過TCP/IP回應封包,將導致memory corruption然後flowd背景程式crash,且持續接收惡意packet就會反覆當掉flowd daemon,此弱點僅發生在單點傳播(unicast)流量處理過程,且無礙IPv6網路通訊。
(1-3)多協定標籤轉換(MPLS:Multi-Protocol Label Switching)本意在支援多層Layer協定且利用Label讓資料高速傳遞,惟Junos OS介面接收處理特製MPLS packet時,資料存放於記憶體,若資料後續被使用恐引發kernel crash,衍生設備功能停擺。
(1-4)多類型正常流量長期持續,必然高度消耗CPU,此際某特定指令發製設備,Junos OS中斷處理器次系統會產生DoS狀態,影響多個thread在設備上逆序執行,使流量轉送和控制皆停工,僅剩重開機一途。
(1-5)為控管PC搬動事件,一般交換器均提供MAC move limit設定功能,限制主機網卡變換連線switch插孔之次數,超過上限則丟掉網卡送出封包,然QFX及EX系列交換器卻將該drop的流量直接轉送,這種漏洞會導致denial of service或非預期後果。
(1-6)寬頻邊緣(BBE:Broadband Edge)是用來彈性切割配置虛擬頻寬的技術,對於多數客戶個別需求,由BBE訂戶管理程式(bbe-smgd:bbe subscriber management daemon)處理,然而在內網寬頻網域內若有過量的近端VLAN驗證,無節制且急迫的request和reject,會讓bbe-smgd高度佔用記憶體而造成denial of service,此弱點僅影響到設定為DHCPv4/v6或自動感應型VLAN。
(1-7)鏈路層發現協議(LLDP:Link Layer Discovery Protocol)可將本地端的訊息結構封裝在LLDPDU(LLDP Data Unit)內發送給鄰近設備,但未認證駭客發送惡意LLDP封包經由內部區域廣播,能夠觸發Junos設備成不當邊界檢查狀態,允許記憶體崩壞再衍生DoS,持續性惡意封包就持續DoS效果。至於通過身分驗證之攻擊者,甚能藉LLDP封包注入程式碼以擴張權限,接管網路設備。
(1-8)Junos提供委託腳本commit script功能,讓用戶得以客製化定義規則設定之驗證程序,故編輯[system scripts commit]段落即可於委任階段執行管理者命令,平時正常運作的commit script,可能造成意外重開機,由於系統會回復到safe mode身分驗證狀態,停留在無密碼的root CLI登入介面,最終僅能透過實體控制臺插孔無密碼登入,方可正常使用。
(1-9)特定版本Junos OS運行於全部SRX系列硬體,對防火牆設定通用唯一識別碼(UUID:Universally Unique IDentifier)有關規則,讓以0開頭的客戶程式UUID能配比之規則,亦能對所有0開頭的TCP流量有相同效果,但是此項規則優先權過高,讓其他規則欲阻擋的流量能藉著UUID規則而繞道通行。
(2)Junos Space具4項弱點
(2-1)Junos Space安全指揮與紀錄搜集器(Security Director and Log Collector)多重弱點,讓無權限用戶得以重複使用旁人建立的URL進行SSH存取。
(2-2)管理介面有回應式XSS瑕疵,遠端用戶能塞入script或HTML,竊取資料與憑證,尚可在設備採取管理行為。
(2-3)本機攻擊者可獲得root權力。
(2-4)Junos Space管理介面有file inclusion漏洞,本機駭客可從系統內找出檔案。
(3)ScreenOS因Etherleak漏洞,未在Ethernet封包內填入0以補滿最小位元量,於是部分封包會包含記憶體片段內容或先前封包資料。
影響產品:
- Junos OS 12.1X46-D71
- Junos OS 12.3R12-S7
- Junos OS 12.3X48-D55
- Junos OS 14.1R8-S5
- Junos OS 14.1R9
- Junos OS 14.1X53-D107
- Junos OS 14.2R7-S9
- Junos OS 14.2R8
- Junos OS 15.1R5-S8
- Junos OS 15.1F2-S17
- Junos OS 15.1F5-S8
- Junos OS 15.1F6-S9
- Junos OS 15.1R7
- Junos OS 15.1X49-D110
- Junos OS 15.1X53-D232
- Junos OS 16.1R6
- Junos OS 16.1R5-S1
- Junos OS 16.2R2-S2
- Junos OS 16.2R3
- Junos OS 16.1R4-S6
- Junos OS 16.1X65-D45
- Junos OS 17.1R2-S5
- Junos OS 17.1R3
- Junos OS 17.2R1-S3
- Junos OS 17.2R2
- Junos OS 17.2X75-D50
- Junos Space 17.2R1
- Junos Space 17.2R1