🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường mầm non Kênh Dương đã đăng ký tín nhiệm. 🔥                    🔥 Hội Khuyến học thành phố Đà Nẵng đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Tam Cường đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Tân Hưng đã đăng ký tín nhiệm. 🔥                   

Juniper Networks phát hành bản vá bảo mật cho lỗ hổng nghiêm trọng trong các bộ định tuyến

02/07/2024

Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết lỗ hổng nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.

Lỗ hổng có định danh CVE-2024-2973, điểm CVSS 10.0, biểu thị độ nghiêm trọng tối đa.

Trong một tư vấn bảo mật được phát hành vào tuần trước, công ty cho biết lỗ hổng chỉ ảnh hưởng đến các sản phẩm Session Smart Router hoặc Conductor của Juniper Networks đang chạy trong cấu hình dự phòng có độ khả dụng cao, cho phép kẻ tấn công bỏ qua xác thực và giành toàn quyền kiểm soát thiết bị.

Danh sách các thiết bị bị ảnh hưởng bao gồm:

- Session Smart Router (các phiên bản trước 5.6.15, từ 6.0 đến trước 6.1.9-lts và từ 6.2 đến trước 6.2.5-st)

- Session Smart Conductor (các phiên bản trước 5.6.15, từ 6.0 đến trước 6.1.9-lts và từ 6.2 đến trước 6.2.5-sts)

- WAN Assurance Router (các phiên bản 6.0 trước 6.1.9-lts và các phiên bản 6.2 trước 6.2.5-sts)

Juniper Networks, được Hewlett Packard Enterprise (HPE) mua lại vào đầu năm nay, cho biết họ không phát hiện dấu hiệu nào cho thấy lỗ hổng này đang bị khai thác trong thực tế.

Họ cũng cho biết đã phát hiện ra lỗ hổng trong quá trình thử nghiệm sản phẩm nội bộ và không có giải pháp thay thế nào khác để giải quyết vấn đề.

“Lỗ hổng đã được vá tự động trên các thiết bị bị ảnh hưởng đối với các bộ định tuyến MIST managed WAN Assurance được kết nối với Mist Cloud”, công ty cho biết. "Điều quan trọng cần lưu ý là bản sửa lỗi được áp dụng tự động trên các bộ định tuyến được quản lý bởi Conductor hoặc trên các bộ định tuyến WAN assurance không ảnh hưởng đến các chức năng data-plane của router".

Vào tháng 1 năm 2024, công ty cũng đã triển khai các bản vá cho một lỗ hổng nghiêm trọng trong cùng sản phẩm (CVE-2024-21591, điểm CVSS: 9,8) có thể cho phép kẻ tấn công thực hiện từ chối dịch vụ (DoS) hoặc thực thi mã từ xa và giành được quyền root trên thiết bị.

Nhiều lỗ hổng bảo mật ảnh hưởng đến firewall SRX và bộ chuyển mạch EX của công ty đã bị các tác nhân đe dọa lạm dụng vào năm ngoái, điều cần thiết là người dùng phải nhanh chóng áp dụng các bản vá để bảo vệ khỏi các mối đe dọa tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop