-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen Juniper Junos OS Advisory ID : NCSC-2022-0023 Versie : 1.00 Kans : medium CVE ID : CVE-2022-22153, CVE-2022-22154, CVE-2022-22155, CVE-2022-22156, CVE-2022-22157, CVE-2022-22159, CVE-2022-22160, CVE-2022-22161, CVE-2022-22162, CVE-2022-22167 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) Omzeilen van beveiligingsmaatregel Spoofing Verhoogde gebruikersrechten Uitgiftedatum : 20220113 Toepassing : Juniper ACX Series Juniper MX Series Juniper SRX Series Versie(s) : Platform(s) : Juniper Junos OS Beschrijving Juniper heeft meerdere kwetsbaarheden verholpen in Junos OS. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade: * Denial-of-Service (DoS) * Omzeilen van beveiligingsmaatregel * Spoofing * Verhoogde gebruikersrechten Omdat het verschillende kwetsbaarheden betreffen die in Junos OS zijn verholpen waarbij niet alle apparaten kwetsbaar zijn, volgt hier een overzicht van de kwetsbaarheden en de getroffen apparaten. * CVE-2022-22153: [SRX Series en MX Series met SPC3] deze kwetsbaarheid kan een Denial-of-Service veroorzaken in afhandelen verkeer wanneer het getroffen apparaat een hoge mate van gefragmenteerd verkeer verwerkt; * CVE-2022-22155: [ACX5448-apparaten] bij overmatige "IPv6 neighbor state" veranderingen bestaat de mogelijkheid dat er een Denial-of-Service situatie kan optreden in de Flexible PIC Concentrator (FPC) met als gevolg dat het getroffen apparaat stopt met verkeer door te sturen; * CVE-2022-22156: wanneer via de CLI bestanden via HTTPS werden opgevraagd werd de authenticiteit van SSL-certificaten niet gevalideerd; * CVE-2022-22157, CVE-2022-22167: [enkel SRX Series] wanneer de 'no-sync-check' optie is ingeschakeld (dit is niet de default) is het mogelijk om Juniper Deep Packet Inspection (JDPI) te omzeilen of om verkeer naar een niet-bevoegd netwerksegment te laten doorsturen; * CVE-2022-22159: middels speciaal geprepareerd netwerkverkeer kan een kwaadwillende de routing protocol daemon (rpd) overbelasten waardoor er geen verkeer meer gerouteerd kan worden. Verkeer dat langs de Flexible PIC Concentrators (FPCs) CPUs loopt zal geen hinder ondervinden; * CVE-2022-22161: [MX104-apparaten] dit betreft een Denial-of-Service kwetsbaarheid die uitsluitend te misbruiken is via out-of-band management interface, maar raakt de beschikbaarheid van alle aangesloten netwerken; * CVE-2022-22162: enkel wanneer J-Web is ingeschakeld en een beheerder is ingelogd, kan een lokale geauthenticeerde kwaadwillende kan zich verhoogde gebruikersrechten verschaffen. Het NCSC schaalt CVE-2022-22159 in als de meest ernstige kwetsbaarheid, omdat deze mogelijk te misbruiken is via de interfaces die verbonden zijn met publieke en mogelijk niet-vertrouwde netwerken. Mogelijke oplossingen Juniper heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Voor meer informatie, zie: CVE-2022-22153: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11261 CVE-2022-22155: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11263 CVE-2022-22156: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11264 CVE-2022-22157, CVE-2022-22167: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11265 CVE-2022-22159: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11267 CVE-2022-22160: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11268 CVE-2022-22161: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11269 CVE-2022-22162: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11270 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYeAP5+Es56R4sCd0AQrX9wwAjXmXUC2fPNc4onL1mTATCyPZOJR/R+zi 9JClRCe4MGAY2XYtIKIhFX/G2qHgrTQBeMaGP7z2K6zaUJftgiMwTkcJb+bZq+Uc h+5RJoFMywTwllWkmW2CJxTiH45RLtHT0F24X6uGm3zO8YnO3eJr+b14YeciDBPG qWA5z9bh9tF24QSfuuVqvFu4qiZj9nzLhWweaEljSKTg0exIHyOHnS+rADgAQe6F mooPfJA2XoP6WZDpUOnUxFp+23fH8qvp9WQEFiJcy+L8l3IbQV8sdvrUaXrdMqP8 jwMUcAQ/O9RykGbyBZZLTlkQ/seoLPEbLAiHMgHlv7lwfR9BgvdmX6sbzUGRHEOa n4dpOrYO9lmU051h8YIRh2mu/cKwLk8BaYmwoBMmMfq4VGD6Zw0zqtdmKxB1sWf5 rTJGOg6ow4rtzaNaiz0ADnMDZaPI703auQ1BuO9APRNukuOjFHnFKwTE2wYNhs6C f/RJbNGPYvAsSnjBNasQIf3VjI5TRldJ =AZEv -----END PGP SIGNATURE-----