Juniper Networksは1月10日(米国時間)、「2024-01 Security Bulletin: Junos OS: SRX Series and EX Series: Security Vulnerability in J-web allows a preAuth Remote Code Execution (CVE-2024-21591)」において、Juniper Networksの次世代ファイアウォール「SRXシリーズ」、ネットワークスイッチ「EXシリーズ」に緊急の脆弱性が存在すると報じた。
脆弱性の影響を受けるJunos OSと脆弱性を修正したJunos OSのバージョン
対象の脆弱性は当該機器に搭載されているJunos OSに存在する。脆弱性の影響を受けるJunos OSのバージョンは次のとおり。
- Junos OS 20.4R3-S9より前のバージョン
- Junos OS 21.2 - 21.2R3-S7より前のバージョン
- Junos OS 21.3 - 21.3R3-S5より前のバージョン
- Junos OS 21.4 - 21.4R3-S5より前のバージョン
- Junos OS 22.1 - 22.1R3-S4より前のバージョン
- Junos OS 22.2 - 22.2R3-S3より前のバージョン
- Junos OS 22.3 - 22.3R3-S2より前のバージョン
- Junos OS 22.4 - 22.4R2-S2および22.4R3より前のバージョン
対象の脆弱性を修正したJunos OSのバージョンは次のとおり。
- Junos OS 20.4R3-S9およびこれ以降のバージョン
- Junos OS 21.2 - 21.2R3-S7およびこれ以降のバージョン
- Junos OS 21.3 - 21.3R3-S5およびこれ以降のバージョン
- Junos OS 21.4 - 21.4R3-S5およびこれ以降のバージョン
- Junos OS 22.1 - 22.1R3-S4およびこれ以降のバージョン
- Junos OS 22.2 - 22.2R3-S3およびこれ以降のバージョン
- Junos OS 22.3 - 22.3R3-S2およびこれ以降のバージョン
- Junos OS 22.4 - 22.4R2-S2および22.4R3およびこれ以降のバージョン
脆弱性の情報
修正された脆弱性の情報は次のとおり。
- CVE-2024-21591 - Juniper Networks Junos OSのJ-Webに存在する境界外書き込みの不具合。攻撃者は任意のメモリを上書きできる安全でない関数を使用することで不具合を発生させることができる。
この脆弱性を悪用されると、認証されていないリモートの攻撃者にサービス運用妨害(DoS: Denial of Service)またはリモートコード実行(RCE: Remote Code Execution)を通じてデバイスの管理者権限を取得される可能性がある。
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Juniper Networksは新しいバージョンが展開されるまでの間、一時的な回避策としてJ-Webを無効にするかアクセスを信頼できるホストに制限することを推奨している。