Download
Beveilingsadvies; NCSC-2022-0023
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen Juniper Junos OS
Advisory ID : NCSC-2022-0023
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-22153, CVE-2022-22154, CVE-2022-22155,
CVE-2022-22156, CVE-2022-22157, CVE-2022-22159,
CVE-2022-22160, CVE-2022-22161, CVE-2022-22162,
CVE-2022-22167
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
Omzeilen van beveiligingsmaatregel
Spoofing
Verhoogde gebruikersrechten
Uitgiftedatum : 20220113
Toepassing : Juniper ACX Series
Juniper MX Series
Juniper SRX Series
Versie(s) :
Platform(s) : Juniper Junos OS
Beschrijving
Juniper heeft meerdere kwetsbaarheden verholpen in Junos OS. De
kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te
voeren die leiden tot de volgende categorieën schade:
* Denial-of-Service (DoS)
* Omzeilen van beveiligingsmaatregel
* Spoofing
* Verhoogde gebruikersrechten
Omdat het verschillende kwetsbaarheden betreffen die in Junos OS
zijn verholpen waarbij niet alle apparaten kwetsbaar zijn, volgt
hier een overzicht van de kwetsbaarheden en de getroffen apparaten.
* CVE-2022-22153: [SRX Series en MX Series met SPC3] deze
kwetsbaarheid kan een Denial-of-Service veroorzaken in afhandelen
verkeer wanneer het getroffen apparaat een hoge mate van
gefragmenteerd verkeer verwerkt;
* CVE-2022-22155: [ACX5448-apparaten] bij overmatige "IPv6 neighbor
state" veranderingen bestaat de mogelijkheid dat er een
Denial-of-Service situatie kan optreden in de Flexible PIC
Concentrator (FPC) met als gevolg dat het getroffen apparaat stopt
met verkeer door te sturen;
* CVE-2022-22156: wanneer via de CLI bestanden via HTTPS werden
opgevraagd werd de authenticiteit van SSL-certificaten niet
gevalideerd;
* CVE-2022-22157, CVE-2022-22167: [enkel SRX Series] wanneer de
'no-sync-check' optie is ingeschakeld (dit is niet de default) is
het mogelijk om Juniper Deep Packet Inspection (JDPI) te omzeilen of
om verkeer naar een niet-bevoegd netwerksegment te laten doorsturen;
* CVE-2022-22159: middels speciaal geprepareerd netwerkverkeer kan
een kwaadwillende de routing protocol daemon (rpd) overbelasten
waardoor er geen verkeer meer gerouteerd kan worden. Verkeer dat
langs de Flexible PIC Concentrators (FPCs) CPUs loopt zal geen
hinder ondervinden;
* CVE-2022-22161: [MX104-apparaten] dit betreft een
Denial-of-Service kwetsbaarheid die uitsluitend te misbruiken is via
out-of-band management interface, maar raakt de beschikbaarheid van
alle aangesloten netwerken;
* CVE-2022-22162: enkel wanneer J-Web is ingeschakeld en een
beheerder is ingelogd, kan een lokale geauthenticeerde kwaadwillende
kan zich verhoogde gebruikersrechten verschaffen.
Het NCSC schaalt CVE-2022-22159 in als de meest ernstige
kwetsbaarheid, omdat deze mogelijk te misbruiken is via de
interfaces die verbonden zijn met publieke en mogelijk
niet-vertrouwde netwerken.
Mogelijke oplossingen
Juniper heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Voor meer informatie, zie:
CVE-2022-22153:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11261
CVE-2022-22155:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11263
CVE-2022-22156:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11264
CVE-2022-22157, CVE-2022-22167:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11265
CVE-2022-22159:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11267
CVE-2022-22160:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11268
CVE-2022-22161:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11269
CVE-2022-22162:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11270
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=AZEv
-----END PGP SIGNATURE-----
