Juniper: Kritische Lücke erlaubt Angreifern Übernahme von Session Smart Router
Juniper Networks liefert außerplanmäßige Updates gegen eine kritische Sicherheitslücke in Session Smart Router, -Conductor und WAN Assurance Router.
Juniper Networks warnt vor einer kritischen Sicherheitslücke in Session Smart Router, Session Smart Conductor und WAN Assurance Router. Sofern diese mit einem redundanten Peer eingesetzt werden, reißt das die Lücke auf, gegen die das außerplanmäßige Update helfen soll.
In der Sicherheitsmitteilung warnt Juniper, dass Angreifer die Authentifizierung umgehen können, indem sie eine nicht näher erläuterte Schwachstelle bei der Nutzung eines alternativen Pfads oder Kanals (Alternative Path or Channel) missbrauchen (CVE-2024-2973, CVSS 10, Risiko "kritisch"). Voraussetzung sei, dass Router oder Conductors in redundanten Hochverfügbarkeitskonfigurationen laufen.
Betroffene Juniper-Geräte und -Versionen
Die Sicherheitslücke findet sich in Smart Session Router vor 5.6.15, 6.0 bis vor 6.1.9-lts sowie von 6.2 bis vor 6.2.5-sts. Dieselben Versionsnummern gibt Juniper für Session Smart Conductor sowie WAN Assurance Router an. Entsprechend korrigieren die Firmware-Versionen SSR-5.6.15, SSR-6.1.9-lts und SSR-6.2.5-sts sowie neuere Fassungen die zugrundeliegenden Fehler.
Auf mit Conductor oder WAN Assurance Router verwalteten Geräten sowie solchen, die an die Mist Cloud angebunden sind, werden die Updates automatisch verteilt. Das Anwenden der Korrekturen mündet in einer kurzen Downtime der webbasierten Verwaltung sowie der APIs, die sich jedoch schnell berappeln sollen.
Lesen Sie auch
Juniper: 225 Sicherheitslücken in Secure Analytics
Am Montag dieser Woche hatte Juniper Networks Aktualisierungen für Secure Analytics herausgegeben. Sie schließen insgesamt 225 Sicherheitslücken in der Software. Teilweise reichten diese bis ins Jahr 2007 zurück, einige davon gelten als kritisches Risiko nach CVSS-Bewertung.
(dmk)