CVE-2024-45347 là một lỗ hổng nghiêm trọng được phát hiện trong Juniper Junos OS và Junos OS Evolved. Lỗ hổng này ảnh hưởng đến giao diện quản lý web J-Web, cho phép kẻ tấn công chưa xác thực thực thi các lệnh tùy ý với quyền root trên hệ thống bị ảnh hưởng. Đây là một lỗ hổng tiêm nhiễm lệnh (command injection) có thể dẫn đến việc kiểm soát hoàn toàn thiết bị.
Mô Tả Kỹ Thuật
Lỗ hổng CVE-2024-45347 được phân loại là lỗ hổng tiêm nhiễm lệnh (Command Injection) trong giao diện J-Web của Junos OS và Junos OS Evolved. Cụ thể, các phiên bản Junos OS và Junos OS Evolved bị ảnh hưởng chứa một lỗi trong việc xử lý đầu vào người dùng trong các thành phần của J-Web. Kẻ tấn công có thể chèn các lệnh hệ thống độc hại vào các trường nhập liệu không được kiểm tra đúng cách, dẫn đến việc các lệnh này được thực thi bởi hệ điều hành cơ bản.
Khai thác lỗ hổng này không yêu cầu xác thực. Điều này có nghĩa là bất kỳ kẻ tấn công nào có thể truy cập mạng tới giao diện J-Web đều có khả năng thực hiện tấn công. Bản chất là tiêm nhiễm lệnh, lỗ hổng cho phép kẻ tấn công thực thi bất kỳ lệnh nào trên thiết bị với đặc quyền root. Quyền root cung cấp cho kẻ tấn công khả năng kiểm soát hoàn toàn thiết bị, bao gồm đọc, sửa đổi hoặc xóa dữ liệu nhạy cảm, cài đặt phần mềm độc hại, tạo tài khoản người dùng mới, và thiết lập các cửa hậu (backdoor) để duy trì quyền truy cập.
Tấn công có thể được thực hiện từ xa qua mạng, làm tăng mức độ nghiêm trọng của lỗ hổng. Sự dễ dàng trong việc khai thác (không yêu cầu xác thực) và mức độ kiểm soát đạt được (quyền root) biến CVE-2024-45347 thành một mối đe dọa cực kỳ nguy hiểm đối với các hệ thống Juniper.
Sản Phẩm và Phiên Bản Bị Ảnh Hưởng
Lỗ hổng này ảnh hưởng đến các phiên bản Juniper Junos OS và Junos OS Evolved sau đây khi tính năng J-Web được bật:
- Junos OS:
- 21.2R3-S10
- 21.3R3-S7
- 21.4R3-S5
- 22.1R3-S4
- 22.2R3-S2
- 22.3R2-S2
- 22.3R3-S1
- 22.4R2-S1
- 23.2R1-S1
- Junos OS Evolved:
- 23.4R1
Các phiên bản đã được khắc phục bao gồm:
- Junos OS:
- 21.2R3-S11
- 21.3R3-S8
- 21.4R3-S6
- 22.1R3-S5
- 22.2R3-S3
- 22.3R2-S3
- 22.3R3-S2
- 22.4R2-S2
- 23.2R1-S2
- 23.2R2
- 23.3R1
- Junos OS Evolved:
- 23.4R1-S1
- 23.4R2
Mức Độ Nghiêm Trọng và Tác Động
Lỗ hổng CVE-2024-45347 đã được gán điểm CVSSv3.1 Base Score 9.8 (Critical). Điều này phản ánh mức độ nghiêm trọng cực kỳ cao của lỗ hổng, với các yếu tố sau:
- Attack Vector (AV): Network (N): Kẻ tấn công có thể khai thác lỗ hổng từ xa qua mạng mà không cần truy cập vật lý.
- Attack Complexity (AC): Low (L): Việc khai thác không đòi hỏi kỹ thuật phức tạp hoặc điều kiện đặc biệt.
- Privileges Required (PR): None (N): Kẻ tấn công không cần bất kỳ đặc quyền nào trên hệ thống để thực hiện tấn công.
- User Interaction (UI): None (N): Tấn công có thể được thực hiện mà không cần sự tương tác của người dùng.
- Scope (S): Changed (C): Tấn công có thể ảnh hưởng đến các tài nguyên ngoài phạm vi của thành phần dễ bị tổn thương.
- Confidentiality Impact (C): High (H): Dữ liệu nhạy cảm trên thiết bị có thể bị truy cập hoàn toàn.
- Integrity Impact (I): High (H): Dữ liệu và cấu hình hệ thống có thể bị sửa đổi hoặc phá hủy.
- Availability Impact (A): High (H): Kẻ tấn công có thể gây ra tình trạng từ chối dịch vụ hoàn toàn.
Tác động của việc khai thác thành công lỗ hổng này là vô cùng nghiêm trọng. Kẻ tấn công có thể:
- Thực thi mã tùy ý (Arbitrary Code Execution) trên thiết bị.
- Kiểm soát hoàn toàn hệ thống với quyền root.
- Truy cập, sửa đổi hoặc đánh cắp dữ liệu nhạy cảm, bao gồm cấu hình mạng, thông tin đăng nhập, và dữ liệu người dùng.
- Cài đặt phần mềm độc hại, phần mềm gián điệp, hoặc các công cụ duy trì truy cập.
- Biến thiết bị thành một phần của mạng botnet hoặc sử dụng nó làm bàn đạp cho các cuộc tấn công tiếp theo vào các hệ thống khác trong mạng.
- Gây ra tình trạng gián đoạn dịch vụ hoặc làm tê liệt hoạt động của thiết bị mạng.
Đối với các tổ chức sử dụng thiết bị Juniper với giao diện J-Web được bật, CVE-2024-45347 đại diện cho một rủi ro đáng kể về bảo mật, đòi hỏi hành động khắc phục ngay lập tức.
Biện Pháp Khắc Phục và Giảm Thiểu
Để bảo vệ hệ thống khỏi CVE-2024-45347, điều quan trọng nhất là cập nhật các thiết bị Juniper Junos OS và Junos OS Evolved lên các phiên bản đã được vá lỗi.
Các biện pháp khắc phục và giảm thiểu được khuyến nghị bao gồm:
- Cập nhật phần mềm: Nâng cấp ngay lập tức các thiết bị bị ảnh hưởng lên phiên bản Junos OS hoặc Junos OS Evolved đã vá lỗi. Các phiên bản đã khắc phục được liệt kê ở mục “Sản Phẩm và Phiên Bản Bị Ảnh Hưởng”.
- Tắt J-Web: Nếu không thể cập nhật ngay lập tức, hãy tắt giao diện J-Web trên tất cả các thiết bị Juniper đang chạy phiên bản bị ảnh hưởng. Việc tắt J-Web sẽ loại bỏ vector tấn công, nhưng cần lưu ý rằng điều này có thể ảnh hưởng đến khả năng quản lý thiết bị thông qua giao diện web. Thay vào đó, hãy sử dụng giao diện dòng lệnh (CLI) hoặc các phương thức quản lý an toàn khác.
- Hạn chế truy cập mạng: Giới hạn quyền truy cập vào giao diện J-Web chỉ từ các mạng nội bộ đáng tin cậy hoặc các địa chỉ IP cụ thể. Triển khai danh sách kiểm soát truy cập (ACLs) trên tường lửa hoặc trên chính thiết bị Juniper để đảm bảo chỉ những người quản trị được ủy quyền mới có thể truy cập J-Web. Điều này có thể giảm thiểu rủi ro từ các cuộc tấn công bên ngoài, nhưng không loại bỏ hoàn toàn nếu kẻ tấn công đã có quyền truy cập vào mạng nội bộ.
- Giám sát và kiểm tra nhật ký: Tăng cường giám sát các hoạt động bất thường trên thiết bị Juniper và kiểm tra nhật ký hệ thống (logs) thường xuyên để phát hiện các dấu hiệu khai thác hoặc truy cập trái phép. Tìm kiếm các mẫu truy cập bất thường đến giao diện J-Web hoặc các lệnh không mong muốn được thực thi.
- Kiểm tra xác thực: Đảm bảo rằng tất cả các tài khoản quản trị trên thiết bị đều sử dụng mật khẩu mạnh và duy nhất, và triển khai xác thực đa yếu tố (MFA) nếu khả dụng.
Việc ưu tiên vá lỗi là rất quan trọng do tính chất nghiêm trọng của lỗ hổng này, đặc biệt đối với các thiết bị định tuyến và chuyển mạch, vốn thường là thành phần cốt lõi của hạ tầng mạng và có thể bị khai thác để kiểm soát toàn bộ mạng.
