พบเหล่าแฮ็กเกอร์เอนจอยการโจมตีช่องโหว่วิกฤติบนสวิตช์ Juniper EX และไฟร์วอลล์ SRX ผ่านหน้าเว็บตั้งค่า J-Web ที่เข้าถึงได้ผ่านอินเทอร์เน็ตกันอย่างมืดฟ้ามัวดิน เป็นช่องโหว่ที่ทำให้ข้ามการยืนยันตนเข้าไปรันโค้ดอันตรายจากระยะไกลบนอุปกรณ์ที่ยังไม่ได้แพ็ตช์ได้
ผู้โจมตีสามารถสร้างคำร้องขอพิเศษที่ทำให้ข้ามขั้นตอนยืนยันตัวตนไปอัพโหลดข้อมูลอันตรายผ่านหน้า J-Web ที่เข้าถึงส่วนหนึ่งของระบบไฟล์ได้ สามารถเอาไปพ่วงกับช่องโหว่อื่นเพื่อเจาะระบบได้ลึกและร้ายแรงกว่าเดิม
เพียงสัปดาห์เดียวหลัง Juniper เปิดเผยรายละเอียดและออกแพ็ตช์อุด 4 ช่องโหว่ที่สามารถใช้ร่วมกันในการทำ RCE ได้นั้น ทางนักวิจัยด้านความปลอดภัย watchTowr Labs ก็ได้ปล่อย PoC ที่เล่นงานช่องโหว่บนไฟร์วอลล์ SRX (CVE-2023-36846 และ CVE-2023-36845) ออกมาซ้ำเติมอีก
แม้ Juniper บอกตอนนั้นว่าไม่พบหลักฐานการเอาไปใช้โจมตีในวงกว้าง แต่ล่าสุด Shadowserver Foundation เผยพบการโจมตีจริงภายในวันเดียวกับที่เผย PoC ตั้งแต่ 25 สิงหาคม มี 29 ไอพีที่ทำการโจมตี น่าจะมาจากผู้โจมตีหลายราย พร้อมมีอุปกรณ์ Juniper ที่มีหน้า J-Web ออกเน็ตพร้อมลองของถึง 8,200 เครื่องตอนนี้
อ่านเพิ่มเติมที่นี่ – BPC
